Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN IPsec basés sur le routage

Un VPN basé sur le routage est une configuration dans laquelle un tunnel VPN IPsec créé entre deux points de terminaison est référencé par une route qui détermine quel trafic est envoyé via le tunnel en fonction d’une adresse IP de destination.

Comprendre les VPN IPsec basés sur le routage

Avec les VPN basés sur le routage, vous pouvez configurer des dizaines de stratégies de sécurité pour réguler le trafic circulant via un seul tunnel VPN entre deux sites, et il n’y a qu’un seul ensemble de IKE et d’IPsec SA à l’œuvre. Contrairement aux VPN basés sur des stratégies, pour les VPN basés sur le routage, une stratégie fait référence à une adresse de destination, et non à un tunnel VPN. Lorsque Junos OS recherche un itinéraire pour trouver l’interface à utiliser pour envoyer le trafic vers l’adresse de destination du paquet, il trouve un itinéraire via une interface de tunnel sécurisée (st0.x). L’interface du tunnel est liée à un tunnel VPN spécifique et le trafic est acheminé vers le tunnel si l’action de stratégie est autorisée.

Une interface de tunnel sécurisé (st0) ne prend en charge qu’une seule adresse IPv4 et une seule adresse IPv6 en même temps. Cela s’applique à tous les VPN basés sur le routage. L’option disable n’est pas prise en charge sur les interfaces st0.

REMARQUE :

Une interface de tunnel sécurisée (st0) de st0.16000 à st0.16385 est réservée pour la haute disponibilité multinœud et pour le chiffrement des liens de contrôle HA dans Chassis Cluster. Ces interfaces ne sont pas des interfaces configurables par l’utilisateur. Vous ne pouvez utiliser que des interfaces de st0.0 à st0.15999.

Exemples d’utilisation de VPN basés sur le routage :

  • Des sous-réseaux ou adresses IP se chevauchent entre les deux réseaux locaux.

  • Le réseau utilise une topologie VPN en étoile, pour un trafic spoke à spoke.

  • Un VPN principal et un VPN de secours sont requis.

  • Un protocole de routage dynamique (par exemple, OSPF, RIP ou BGP) s’exécute sur le VPN.

    La configuration des circuits de demande RIP sur des interfaces VPN point à multipoint n’est pas prise en charge.

Nous vous recommandons d’utiliser un VPN basé sur l’itinéraire lorsque vous souhaitez configurer un VPN entre plusieurs sites distants. Le VPN basé sur la route permet le routage entre les rayons entre plusieurs sites distants ; Il est plus facile à configurer, à surveiller et à dépanner.

Exemple : Configuration d’un VPN basé sur le routage

Cet exemple montre comment configurer un VPN IPsec basé sur le routage pour autoriser le transfert sécurisé de données entre deux sites.

Conditions préalables

Cet exemple utilise le matériel suivant :

  • Tout pare-feu SRX Series

    • Mis à jour et revalidé à l’aide du pare-feu virtuel vSRX sur Junos OS version 20.4R1.
REMARQUE :

Souhaitez-vous acquérir une expérience pratique des sujets et des opérations abordés dans ce guide ? Consultez la démonstration du VPN basé sur le routage IPsec dans les laboratoires virtuels Juniper Networks et réservez votre sandbox gratuit dès aujourd’hui ! Vous trouverez le bac à sable basé sur le routage VPN IPsec dans la catégorie Sécurité.

Avant de commencer, lisez Présentation d’IPsec.

Présentation

Dans cet exemple, vous allez configurer un VPN basé sur le routage sur SRX1 et SRX2. Host1 et Host2 utilisent le VPN pour envoyer du trafic en toute sécurité sur Internet entre les deux hôtes.

Figure 1 montre un exemple de topologie VPN basée sur le routage.

Figure 1 : Topologie VPN basée sur le routageTopologie VPN basée sur le routage

Dans cet exemple, vous configurez des interfaces, une route IPv4 par défaut et des zones de sécurité. Ensuite, vous configurez les paramètres IKE, IPsec, la stratégie de sécurité et TCP-MSS. Consultez Tableau 1 les Tableau 5 paramètres de configuration spécifiques utilisés dans cet exemple.

Tableau 1 : Informations sur l’interface, la route statique, la zone de sécurité et la stratégie de sécurité pour SRX1

Fonctionnalité

Nom

Paramètres de configuration

Interfaces

GE-0/0/0.0

10.100.11.1/24

 

GE-0/0/1.0

172.16.13.1/24

 

st0.0 (interface tunnel)

10.100.200.1/24

Routes statiques

10.100.22.0/24

0.0.0.0/0

Le saut suivant est st0.0.

Le saut suivant est 172.16.13.2.

Zones de sécurité

confiance

  • L’interface ge-0/0/0.0 est liée à cette zone.

 

Untrust

  • L’interface ge-0/0/1.0 est liée à cette zone.

 

Vpn

  • L’interface st0.0 est liée à cette zone.

Tableau 2 : Paramètres de configuration IKE

Fonctionnalité

Nom

Paramètres de configuration

Proposition

Standard

  • Méthode d’authentification : clés pré-partagées

Politique

IKE-POL

  • Mode: Principal

  • Référence de la proposition : Standard

  • Méthode d’authentification de la stratégie IKE : clés pré-partagées

Passerelle

IKE-GW

  • Référence de la stratégie IKE : IKE-POL

  • Interface externe : ge-0/0/1

  • Adresse de la passerelle : 172.16.23.1

Tableau 3 : Paramètres de configuration IPsec

Fonctionnalité

Nom

Paramètres de configuration

Proposition

Standard

  • Utilisation de la configuration par défaut

Politique

IPSEC-POL

  • Référence de la proposition : Standard

VPN

VPN vers hôte2

  • Référence de la passerelle IKE : IKE-GW

  • Informations de référence sur la stratégie IPsec : IPSEC-POL

  • Lier à l’interface : st0.0

  • etablish-tunnels immédiatement
Tableau 4 : Paramètres de configuration de la stratégie de sécurité

But

Nom

Paramètres de configuration

La stratégie de sécurité autorise le trafic de la zone de confiance vers la zone VPN.

SORTIE VPN

  • Critères de correspondance :

    • adresse-source Host1-Net

    • adresse_destination Host2-Net

    • Application n’importe quel

  • Action: Permis

La stratégie de sécurité autorise le trafic de la zone VPN vers la zone de confiance.

ENTRÉE VPN

  • Critères de correspondance :

    • adresse-source Host2-Net

    • adresse_destination Host1-Net

    • Application n’importe quel

  • Action: Permis

Tableau 5 : Paramètres de configuration TCP-MSS

But

Paramètres de configuration

TCP-MSS est négocié dans le cadre de l’établissement de liaison TCP à trois voies et limite la taille maximale d’un segment TCP afin de mieux s’adapter aux limites MTU d’un réseau. Pour le trafic VPN, la surcharge d’encapsulation IPsec, ainsi que l’IP et la surcharge de trame, peuvent entraîner un dépassement de la MTU de l’interface physique par le paquet ESP résultant, ce qui entraîne une fragmentation. La fragmentation augmente la bande passante et les ressources de l’appareil.

Nous recommandons une valeur de 1350 comme point de départ pour la plupart des réseaux Ethernet avec une MTU de 1500 ou plus. Vous devrez peut-être tester différentes valeurs TCP-MSS pour obtenir des performances optimales. Par exemple, vous devrez peut-être modifier la valeur si un périphérique du chemin d’accès a une MTU inférieure ou s’il existe une surcharge supplémentaire telle que PPP ou Frame Relay.

Valeur MSS : 1350

Configuration

Configurer les informations de base sur le réseau et la zone de sécurité

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cette section de l’exemple pour SRX1, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez le Guide de l’utilisateur de la CLI.

Pour configurer les informations de l’interface, de la route statique et de la zone de sécurité :

  1. Configurez les interfaces.

  2. Configurez les routes statiques.

  3. Attribuez l’interface Internet à la zone de sécurité non fiable.

  4. Spécifiez les services système autorisés pour la zone de sécurité untrust.

  5. Affectez l’interface Host1 à la zone de sécurité de confiance.

  6. Spécifiez les services système autorisés pour la zone de sécurité de confiance.

  7. Attribuez l’interface de tunnel sécurisé à la zone de sécurité VPN.

  8. Spécifiez les services système autorisés pour la zone de sécurité VPN.

Résultats

À partir du mode de configuration, confirmez votre configuration en saisissant les commandes show interfaces, show routing-optionset show security zones . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Configuration d’IKE

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cette section de l’exemple pour SRX1, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez le Guide de l’utilisateur de la CLI.

Pour configurer l’IKE :

  1. Créez la proposition IKE.

  2. Définissez la méthode d’authentification de la proposition IKE.

  3. Créez une stratégie IKE.

  4. Définissez le mode de stratégie IKE.

  5. Spécifiez une référence à la proposition IKE.

  6. Définissez la méthode d’authentification de la stratégie IKE.

  7. Créez une passerelle IKE et définissez son interface externe.

  8. Définissez la référence de stratégie IKE.

  9. Définissez l’adresse de la passerelle IKE.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show security ike commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Configuration d’IPsec

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cette section de l’exemple pour SRX1, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez le Guide de l’utilisateur de la CLI.

Pour configurer IPsec :

  1. Créez une proposition IPsec.

  2. Créez la stratégie IPsec.

  3. Spécifiez la référence de proposition IPsec.

  4. Spécifiez la passerelle IKE.

  5. Spécifiez la stratégie IPsec.

  6. Spécifiez l’interface à lier.

  7. Configurez le tunnel pour qu’il s’établisse immédiatement.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show security ipsec commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Configuration des stratégies de sécurité

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement les stratégies de sécurité pour SRX1, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez le Guide de l’utilisateur de la CLI.

Pour configurer les politiques de sécurité :

  1. Créez des entrées de carnet d’adresses pour les réseaux qui seront utilisées dans les stratégies de sécurité.

  2. Créez une stratégie de sécurité pour autoriser le trafic de la zone de confiance vers la zone de non-confiance pour le trafic vers Internet.

  3. Créez une stratégie de sécurité pour autoriser le trafic de l’hôte 1 dans la zone de confiance destiné à l’hôte 2 dans la zone VPN.

  4. Créez une stratégie de sécurité pour autoriser le trafic de Host2 dans la zone VPN vers Host1 dans la zone de confiance.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les commandes show security address-book et show security policies . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Configuration de TCP-MSS

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement le MSS TCP pour SRX1, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez le Guide de l’utilisateur de la CLI.

Pour configurer les informations TCP-MSS :

  1. Configurez les informations TCP-MSS.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show security flow commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Configuration de SRX2

Configuration rapide de l’interface de ligne de commande

À titre de référence, la configuration du SRX2 est fournie.

Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Vérification

Effectuez les opérations suivantes pour vérifier que la configuration fonctionne correctement :

Vérifier l’état IKE

But

Vérifiez l’état IKE.

Action

À partir du mode opérationnel, entrez la show security ike security-associations commande. Après avoir obtenu un numéro d’index à partir de la commande, utilisez la show security ike security-associations index index_number detail commande.

Sens

La show security ike security-associations commande répertorie toutes les SA IKE actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de l’IKE. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration.

Si des SA sont répertoriées, vérifiez les informations suivantes :

  • Index : cette valeur est unique pour chaque IKE SA, que vous pouvez utiliser dans la commande pour obtenir plus d’informations sur la show security ike security-associations index detail SA.

  • Remote Address (Adresse distante) : vérifiez que l’adresse IP distante est correcte.

  • État

    • UP : l’IKE SA a été créée.

    • DOWN—Il y a eu un problème lors de l’établissement de l’IKE SA.

  • Mode (Mode) : vérifiez que le mode approprié est utilisé.

Vérifiez que les éléments suivants sont corrects dans votre configuration :

  • Interfaces externes (l’interface doit être celle qui reçoit les paquets IKE)

  • Paramètres de stratégie IKE

  • Informations clés prépartagées

  • Paramètres de la proposition (doivent correspondre sur les deux pairs)

La show security ike security-associations index 1859340 detail commande répertorie des informations supplémentaires sur l’association de sécurité avec un numéro d’index de 1859340 :

  • Algorithmes d’authentification et de chiffrement utilisés

  • Vie

  • Statistiques de trafic (peuvent être utilisées pour vérifier que le trafic est fluide dans les deux sens)

  • Informations sur le rôle

    Le dépannage est mieux effectué sur l’homologue à l’aide du rôle de répondeur.

  • Informations sur l’initiateur et le répondant

  • Nombre de SA IPsec créées

  • Nombre de négociations en cours

Vérifier l’état IPsec

But

Vérifiez l’état IPsec.

Action

À partir du mode opérationnel, entrez la show security ipsec security-associations commande. Après avoir obtenu un numéro d’index à partir de la commande, utilisez la show security ipsec security-associations index index_number detail commande.

Sens

La sortie de la show security ipsec security-associations commande répertorie les informations suivantes :

  • Le numéro d’identification est 131074. Utilisez cette valeur avec la show security ipsec security-associations index commande pour obtenir plus d’informations sur cette SA particulière.

  • Il existe une paire SA IPsec utilisant le port 500, ce qui indique qu’aucune traversée NAT n’est implémentée. (La traversée NAT utilise le port 4500 ou un autre port aléatoire à nombre élevé.)

  • Les SPI, la durée de vie (en secondes) et les limites d’utilisation (ou la durée de vie en Ko) sont indiqués dans les deux sens. La valeur 3403/ unlim indique que la durée de vie expire dans 3403 secondes et qu’aucune durée de vie n’a été spécifiée, ce qui indique qu’elle est illimitée. La durée de vie peut différer de la durée de vie, car IPsec ne dépend pas d’IKE une fois le VPN activé.

  • La surveillance VPN n’est pas activée pour cette SA, comme l’indique un trait d’union dans la colonne Mon. Si la surveillance VPN est activée, U indique que la surveillance est activée et D indique que la surveillance est inactive.

  • Le système virtuel (vsys) est le système racine, et il indique toujours 0.

La sortie de la show security ipsec security-associations index 131074 detail commande répertorie les informations suivantes :

  • L’identité locale et l’identité distante constituent l’ID de proxy de la SA.

    Une incompatibilité d’ID de proxy est l’une des causes les plus courantes d’échec IPsec. Si aucune SA IPsec n’est répertoriée, vérifiez que les propositions IPsec, y compris les paramètres d’ID de proxy, sont correctes pour les deux homologues. Pour les VPN basés sur le routage, l’ID de proxy par défaut est local=0.0.0.0/0, remote=0.0.0.0/0 et service=any. Des problèmes peuvent survenir avec plusieurs VPN basés sur le routage à partir de la même adresse IP homologue. Dans ce cas, un ID de proxy unique doit être spécifié pour chaque SA IPsec. Pour certains fournisseurs tiers, l’ID de proxy doit être saisi manuellement pour correspondre.

  • Une autre raison courante de l’échec IPsec est l’absence de spécification de la liaison d’interface ST. Si IPsec ne peut pas être terminé, vérifiez le journal kmd ou définissez les options de traçage.

Tester le flux de trafic sur le VPN

But

Vérifiez le flux de trafic sur le VPN.

Action

Utilisez la ping commande du périphérique Host1 pour tester le flux de trafic vers Host2.

Sens

Si la ping commande échoue à partir de Host1, il peut y avoir un problème avec le routage, les stratégies de sécurité, l’hôte final ou le chiffrement et le déchiffrement des paquets ESP.

Consulter les statistiques et les erreurs d’une association de sécurité IPsec

But

Examinez les compteurs d’en-tête et les erreurs ESP et d’authentification pour une association de sécurité IPsec.

Action

À partir du mode opérationnel, entrez la show security ipsec statistics index index_number commande, à l’aide du numéro d’index du VPN pour lequel vous souhaitez voir les statistiques.

Vous pouvez également utiliser la show security ipsec statistics commande pour consulter les statistiques et les erreurs de toutes les SA.

Pour effacer toutes les statistiques IPsec, utilisez la clear security ipsec statistics commande.

Sens

Si vous constatez des problèmes de perte de paquets sur un VPN, exécutez la show security ipsec statistics commande ou show security ipsec statistics detail plusieurs fois pour confirmer si les compteurs de paquets chiffrés et déchiffrés s’incrémentent. Recherchez dans la sortie de la commande les compteurs d’erreur d’incrémentation.