Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN IPsec basés sur des stratégies

Un VPN basé sur une stratégie est une configuration dans laquelle un tunnel VPN IPsec créé entre deux points de terminaison est spécifié dans la stratégie elle-même avec une action de stratégie pour le trafic de transit qui répond aux critères de correspondance de la stratégie.

Comprendre les VPN IPsec basés sur des stratégies

Pour les VPN IPsec basés sur des stratégies, une stratégie de sécurité spécifie comme action le tunnel VPN à utiliser pour le trafic de transit qui répond aux critères de correspondance de la stratégie. Un VPN est configuré indépendamment d’une déclaration de stratégie. L’instruction de stratégie fait référence au VPN par son nom pour spécifier le trafic autorisé à accéder au tunnel. Pour les VPN basés sur des stratégies, chaque stratégie crée une association de sécurité IPsec (SA) individuelle avec l’homologue distant, chacune d’entre elles étant comptabilisée comme un tunnel VPN individuel. Par exemple, si une stratégie contient une adresse source de groupe et une adresse de destination de groupe, chaque fois que l’un des utilisateurs appartenant au jeu d’adresses tente de communiquer avec l’un des hôtes spécifiés comme adresse de destination, un nouveau tunnel est négocié et établi. Étant donné que chaque tunnel nécessite son propre processus de négociation et une paire de SA distinctes, l’utilisation de VPN IPsec basés sur des stratégies peut être plus gourmande en ressources que les VPN basés sur le routage.

Exemples d’utilisation de VPN basés sur des stratégies :

  • Vous mettez en œuvre un VPN commuté.

  • Les VPN basés sur des stratégies vous permettent de diriger le trafic en fonction des stratégies de pare-feu.

Nous vous recommandons d’utiliser un VPN basé sur l’itinéraire lorsque vous souhaitez configurer un VPN entre plusieurs sites distants. Les VPN basés sur le routage peuvent offrir les mêmes fonctionnalités que les VPN basés sur des stratégies.

Limitations:

  • Les VPN IPSec basés sur des stratégies ne sont pas pris en charge avec IKEv2.

  • La prise en charge du VPN IPsec basé sur des stratégies n’est pas disponible lors de l’utilisation d’un package avec votre pare-feu en cours d’exécution junos-ikeiked pour le service VPN IPsec. Avec junos-ike package, supprimez toutes les configurations VPN IPsec basées sur des stratégies, car elles sont inefficaces. Notez que dans SRX5K-SPC3 avec RE3, le junos-ike package est disponible par défaut. Pour les plates-formes SRX1500 et supérieures, il s’agit d’un ensemble optionnel. Pour plus d’informations, reportez-vous à la section Prise en charge des fonctionnalités VPN IPsec avec le nouveau package .

Exemple : Configuration d’un VPN basé sur des stratégies

Cet exemple montre comment configurer un VPN IPsec basé sur des stratégies pour autoriser le transfert sécurisé de données entre deux sites.

Conditions préalables

Cet exemple utilise le matériel suivant :

  • Tout pare-feu SRX Series

    • Mis à jour et revalidé à l’aide du pare-feu virtuel vSRX sur Junos OS version 20.4R1.
REMARQUE :

Souhaitez-vous acquérir une expérience pratique des sujets et des opérations abordés dans ce guide ? Assistez à la démonstration IPsec basée sur des stratégies dans les laboratoires virtuels Juniper Networks et réservez votre sandbox gratuit dès aujourd’hui ! Vous trouverez le bac à sable basé sur une stratégie VPN IPsec dans la catégorie Sécurité.

Avant de commencer, lisez Présentation d’IPsec.

Présentation

Dans cet exemple, vous allez configurer un VPN basé sur des stratégies sur SRX1 et SRX2. Host1 et Host2 utilisent le VPN pour envoyer du trafic en toute sécurité sur Internet entre les deux hôtes.

Figure 1 présente un exemple de topologie VPN basée sur des stratégies.

Figure 1 : Topologie VPN basée sur les stratégiesTopologie VPN basée sur les stratégies

La négociation du tunnel IPsec IKE se déroule en deux phases. Au cours de la phase 1, les participants établissent un canal sécurisé dans lequel ils peuvent négocier l’association de sécurité IPsec (SA). Dans la phase 2, les participants négocient l’SA IPsec pour authentifier le trafic qui transitera par le tunnel. De même que la négociation des tunnels se déroule en deux phases, de même que la configuration des tunnels se déroule en deux phases.

Dans cet exemple, vous configurez des interfaces, une route IPv4 par défaut et des zones de sécurité. Ensuite, vous configurez la phase 1 d’IKE, la phase 2 d’IPsec, la stratégie de sécurité et les paramètres TCP-MSS. Voir Tableau 1 à travers Tableau 5.

Tableau 1 : Informations sur l’interface, la route statique et la zone de sécurité pour SRX1

Fonctionnalité

Nom

Paramètres de configuration

Interfaces

GE-0/0/0.0

10.100.11.1/24

 

GE-0/0/1.0

172.16.13.1/24

Zones de sécurité

confiance

  • L’interface ge-0/0/0.0 est liée à cette zone.

 

Untrust

  • L’interface ge-0/0/1.0 est liée à cette zone.

Routes statiques

0.0.0.0/0

  • Le saut suivant est 172.16.13.2.

Tableau 2 : Paramètres de configuration de la phase 1 de l’IKE

Fonctionnalité

Nom

Paramètres de configuration

Proposition

Standard

  • Méthode d’authentification : clés pré-partagées

Politique

IKE-POL

  • Mode: Principal

  • Référence de la proposition : Standard

  • Méthode d’authentification de la stratégie IKE Phase 1 : texte ascii à clé pré-partagée

Passerelle

IKE-GW

  • Référence de la stratégie IKE : IKE-POL

  • Interface externe : ge-0/0/1

  • Adresse de la passerelle : 172.16.23.1

Tableau 3 : Paramètres de configuration IPsec Phase 2

Fonctionnalité

Nom

Paramètres de configuration

Proposition

Standard

  • Utilisation de la configuration par défaut

Politique

IPSEC-POL

  • Référence de la proposition : Standard

VPN

VPN vers hôte2

  • Référence de la passerelle IKE : IKE-GW

  • Informations de référence sur la stratégie IPsec : IPSEC-POL

  • etablish-tunnels immédiatement
Tableau 4 : Paramètres de configuration de la stratégie de sécurité

But

Nom

Paramètres de configuration

Cette stratégie de sécurité autorise le trafic entre la zone de confiance et la zone de méfiance.

SORTIE VPN

  • Critères de correspondance :

    • adresse-source Host1-Net

    • adresse_destination Host2-Net

    • Application n’importe quel

  • Autoriser l’action : tunnel ipsec-vpn VPN-vers-hôte2

Cette stratégie de sécurité autorise le trafic de la zone d’approbation vers la zone de confiance.

ENTRÉE VPN

  • Critères de correspondance :

    • adresse-source Host2-Net

    • adresse_destination Host1-Net

    • Application n’importe quel

  • Autoriser l’action : tunnel ipsec-vpn VPN-vers-hôte2

Cette stratégie de sécurité autorise tout le trafic de la zone de confiance vers la zone de non-confiance.

Vous devez placer la stratégie VPN-OUT avant la stratégie de sécurité d’autorisation par défaut. Junos OS effectue une recherche des stratégies de sécurité en commençant par le haut de la liste. Si la stratégie d’autorisation par défaut précède la stratégie VPN-OUT, tout le trafic provenant de la zone de confiance correspond à la stratégie d’autorisation par défaut et est autorisé. Ainsi, aucun trafic ne correspondra jamais à la stratégie VPN-OUT.

autorisation_de_défaut

  • Critères de correspondance :

    • adresse-source n’importe quel

    • source-destination any

    • Application n’importe quel

  • Action: Permis

Tableau 5 : Paramètres de configuration TCP-MSS

But

Paramètres de configuration

Le protocole TCP-MSS est négocié dans le cadre de l’établissement de liaison à trois voies TCP et limite la taille maximale d’un segment TCP afin de mieux s’adapter aux limites de l’unité de transmission maximale (MTU) d’un réseau. Ceci est particulièrement important pour le trafic VPN, car la surcharge d’encapsulation IPsec, ainsi que l’IP et la surcharge de trames, peuvent entraîner un dépassement de la MTU de l’interface physique par le paquet ESP (Encapsulating Security Payload) résultant, provoquant ainsi une fragmentation. La fragmentation augmente l’utilisation de la bande passante et des ressources des appareils.

Nous recommandons une valeur de 1350 comme point de départ pour la plupart des réseaux Ethernet avec une MTU de 1500 ou plus. Vous devrez peut-être tester différentes valeurs TCP-MSS pour obtenir des performances optimales. Par exemple, vous devrez peut-être modifier la valeur si un périphérique du chemin d’accès a une MTU inférieure ou s’il existe une surcharge supplémentaire telle que PPP ou Frame Relay.

Valeur MSS : 1350

Configuration

Configuration des informations de base sur le réseau et les zones de sécurité

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple pour SRX1, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez le Guide de l’utilisateur de la CLI.

Pour configurer les informations de l’interface, de la route statique et de la zone de sécurité :

  1. Configurez les interfaces.

  2. Configurez les routes statiques.

  3. Attribuez l’interface Internet à la zone de sécurité non fiable.

  4. Spécifiez les services système autorisés pour la zone de sécurité untrust.

  5. Affectez l’interface Host1 à la zone de sécurité de confiance.

  6. Spécifiez les services système autorisés pour la zone de sécurité de confiance.

Résultats

À partir du mode de configuration, confirmez votre configuration en saisissant les commandes show interfaces, show routing-optionset show security zones . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Configuration d’IKE

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple pour SRX1, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez le Guide de l’utilisateur de la CLI.

Pour configurer l’IKE :

  1. Créez la proposition IKE.

  2. Définissez la méthode d’authentification de la proposition IKE.

  3. Créez la stratégie IKE.

  4. Définissez le mode de stratégie IKE.

  5. Spécifiez une référence à la proposition IKE.

  6. Définissez la méthode d’authentification de la stratégie IKE.

  7. Créez la passerelle IKE et définissez son interface externe.

  8. Définissez l’adresse de la passerelle IKE.

  9. Définissez la référence de stratégie IKE.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show security ike commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Configuration d’IPsec

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple pour SRX1, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez le Guide de l’utilisateur de la CLI.

Pour configurer IPsec :

  1. Créez la proposition IPsec.

  2. Créez la stratégie IPsec.

  3. Spécifiez la référence de proposition IPsec.

  4. Spécifiez la passerelle IKE.

  5. Spécifiez la stratégie IPsec.

  6. Configurez le tunnel pour qu’il s’établisse immédiatement.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show security ipsec commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Configuration des stratégies de sécurité

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple pour SRX1, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez le Guide de l’utilisateur de la CLI.

Pour configurer les politiques de sécurité :

  1. Créez des entrées de carnet d’adresses pour les réseaux qui seront utilisées dans les stratégies de sécurité.

  2. Créez la stratégie de sécurité à faire correspondre sur le trafic de l’hôte 1 dans la zone de confiance à l’hôte 2 dans la zone d’approbation non approuvée.

  3. Créez la stratégie de sécurité pour autoriser tout autre trafic Internet à partir de la zone de confiance vers la zone de non-confiance.

  4. Créez une stratégie de sécurité pour autoriser le trafic de l’hôte 2 dans la zone d’approbation vers l’hôte 1 dans la zone d’approbation.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Configuration de TCP-MSS

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple pour SRX1, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

Pour configurer les informations TCP-MSS :

  1. Configurez les informations TCP-MSS.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show security flow commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Configuration de SRX2

Configuration rapide de l’interface de ligne de commande

À titre de référence, la configuration de SRX2 est fournie.

Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :

Vérification de l’état IKE

But

Vérifiez l’état IKE.

Action

À partir du mode opérationnel, entrez la show security ike security-associations commande. Après avoir obtenu un numéro d’index à partir de la commande, utilisez la show security ike security-associations index index_number detail commande.

Sens

La show security ike security-associations commande répertorie toutes les associations de sécurité (SA) IKE actives de phase 1. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 1. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration.

Si des SA sont répertoriées, vérifiez les informations suivantes :

  • Index : cette valeur est unique pour chaque IKE SA, que vous pouvez utiliser dans la commande pour obtenir plus d’informations sur la show security ike security-associations index detail SA.

  • Remote Address (Adresse distante) : vérifiez que l’adresse IP distante est correcte.

  • État

    • UP : l’AS de phase 1 a été établie.

    • BAS : un problème est survenu lors de l’établissement de l’AS de phase 1.

  • Mode (Mode) : vérifiez que le mode approprié est utilisé.

Vérifiez que les éléments suivants sont corrects dans votre configuration :

  • Interfaces externes (l’interface doit être celle qui reçoit les paquets IKE)

  • Paramètres de stratégie IKE

  • Informations clés prépartagées

  • Paramètres de la proposition de la phase 1 (doivent correspondre sur les deux pairs)

La show security ike security-associations index 1859361 detail commande répertorie des informations supplémentaires sur l’association de sécurité avec un numéro d’index de 1859361 :

  • Algorithmes d’authentification et de chiffrement utilisés

  • Durée de vie de la phase 1

  • Statistiques de trafic (peuvent être utilisées pour vérifier que le trafic est fluide dans les deux sens)

  • Informations sur les rôles de l’initiateur et de l’intervenant

    Le dépannage est mieux effectué sur l’homologue à l’aide du rôle de répondeur.

  • Nombre de SA IPsec créées

  • Nombre de négociations de phase 2 en cours

Vérification de l’état IPsec Phase 2

But

Vérifiez l’état IPsec Phase 2.

Action

À partir du mode opérationnel, entrez la show security ipsec security-associations commande. Après avoir obtenu un numéro d’index à partir de la commande, utilisez la show security ipsec security-associations index index_number detail commande.

Sens

La sortie de la show security ipsec security-associations commande répertorie les informations suivantes :

  • Le numéro d’identification est 2. Utilisez cette valeur avec la show security ipsec security-associations index commande pour obtenir plus d’informations sur cette SA particulière.

  • Il existe une paire SA IPsec utilisant le port 500, ce qui indique qu’aucune traversée NAT n’est implémentée. (La traversée NAT utilise le port 4500 ou un autre port aléatoire à nombre élevé.)

  • Les SPI, la durée de vie (en secondes) et les limites d’utilisation (ou la durée de vie en Ko) sont indiqués dans les deux sens. La valeur 921/ unlim indique que la durée de vie de la phase 2 expire dans 921 secondes et qu’aucune durée de vie n’a été spécifiée, ce qui indique qu’elle est illimitée. La durée de vie de la phase 2 peut différer de la durée de vie de la phase 1, car la phase 2 ne dépend pas de la phase 1 une fois le VPN activé.

  • La surveillance VPN n’est pas activée pour cette SA, comme l’indique un trait d’union dans la colonne Mon. Si la surveillance VPN est activée, U (haut) ou D (bas) est répertorié.

  • Le système virtuel (vsys) est le système racine, et il indique toujours 0.

La sortie de la show security ipsec security-associations index 2 detail commande répertorie les informations suivantes :

  • L’identité locale et l’identité distante constituent l’ID de proxy de la SA.

    Une incompatibilité d’ID de proxy est l’une des raisons les plus courantes d’un échec de phase 2. Pour les VPN basés sur des stratégies, l’ID de proxy est dérivé de la stratégie de sécurité. L’adresse locale et l’adresse distante sont dérivées des entrées du carnet d’adresses et le service est dérivé de l’application configurée pour la stratégie. Si la phase 2 échoue en raison d’une incompatibilité d’ID de proxy, vous pouvez utiliser la stratégie pour confirmer les entrées du carnet d’adresses configurées. Vérifiez que les adresses correspondent aux informations envoyées. Vérifiez le service pour vous assurer que les ports correspondent aux informations envoyées.

Tester le flux de trafic sur le VPN

But

Vérifiez le flux de trafic sur le VPN.

Action

Utilisez la ping commande du périphérique Host1 pour tester le flux de trafic vers Host2.

Sens

Si la ping commande échoue à partir de Host1, il peut y avoir un problème avec le routage, les stratégies de sécurité, l’hôte final ou le chiffrement et le déchiffrement des paquets ESP.

Examen des statistiques et des erreurs pour une association de sécurité IPsec

But

Examinez les compteurs d’en-tête et les erreurs ESP et d’authentification pour une association de sécurité IPsec.

Action

À partir du mode opérationnel, entrez la show security ipsec statistics index index_number commande, à l’aide du numéro d’index du VPN pour lequel vous souhaitez voir les statistiques.

Vous pouvez également utiliser la show security ipsec statistics commande pour consulter les statistiques et les erreurs de toutes les SA.

Pour effacer toutes les statistiques IPsec, utilisez la clear security ipsec statistics commande.

Sens

Si vous constatez des problèmes de perte de paquets sur un VPN, vous pouvez exécuter la show security ipsec statistics commande plusieurs fois pour confirmer que les compteurs de paquets chiffrés et déchiffrés s’incrémentent. Vous devez également vérifier si les autres compteurs d’erreur sont incrémentés.