Créer un VPN de site à site

Nom

Saisissez un nom pour le VPN.

Description

Saisissez une description. Cette description sera utilisée pour les propositions et stratégies IKE et IPsec. Lors de la modification, la description de la stratégie IPsec sera affichée et mise à jour.

Mode de routage

Sélectionnez le mode de routage auquel ce VPN sera associé :

• Sélecteur de trafic (insertion de route automatique)

• Routage statique

• Routage dynamique – OSPF

• Routage dynamique – BGP

Pour chaque topologie, J-Web génère automatiquement les CLI pertinentes. Le sélecteur de trafic est le mode par défaut.

Méthode d’authentification

Sélectionnez une méthode d’authentification dans la liste que l’équipement utilise pour authentifier la source des messages Internet Key Exchange (IKE) :

• Basé sur des certificats : types de signatures numériques, qui sont des certificats qui confirment l’identité du détenteur du certificat.

  Les méthodes d’authentification basées sur un certificat sont les suivantes :

  • rsa-signatures : spécifie qu’un algorithme à clé publique, qui prend en charge le chiffrement et les signatures numériques, est utilisé.

  • dsa-signatures : spécifie que l’algorithme de signature numérique (DSA) est utilisé.

  • ecdsa-signatures-256 : spécifie que la courbe elliptique DSA (ECDSA) à l’aide de la courbe elliptique de 256 bits secp256r1, telle que spécifiée dans le Federal Information Processing Standard (FIPS) Digital Signature Standard (DSS) 186-3, est utilisée.

  • ecdsa-signatures-384 : spécifie que l’ECDSA utilise la courbe elliptique 384 bits secp384r1, comme spécifié dans le DSS 186-3 DE FIPS.

  • ecdsa-signatures-521 : spécifie que l’ECDSA utilise la courbe elliptique 521 bits secp521r1.

    Note:

    ecdsa-signatures-521 ne prend en charge que les équipements de la gamme SRX5000 avec carte SPC3 et le package junos-ike installés.

• Clé pré-partagée (méthode par défaut) : spécifie qu’une clé prépartage, qui est une clé secrète partagée entre les deux pairs, est utilisée lors de l’authentification pour identifier les pairs l’un à l’autre. La même clé doit être configurée pour chaque pair. Il s’agit de la méthode par défaut.

Stratégie de pare-feu de création automatique

Si vous sélectionnez Oui, une stratégie de pare-feu se situe automatiquement entre la zone interne et la zone d’interface du tunnel avec les réseaux locaux protégés comme adresse source et les réseaux protégés à distance comme adresse de destination.

Une autre politique de pare-feu sera créée visa-versa.

Si vous choisissez Non, vous n’avez pas d’option de stratégie de pare-feu. Vous devez créer manuellement la stratégie de pare-feu requise pour que ce VPN fonctionne.

Passerelle distante

Affiche l’icône de la passerelle distante dans la topologie. Cliquez sur l’icône pour configurer la passerelle distante.

La passerelle identifie l’homologue distant avec les pairs VPN IPsec et définit les paramètres appropriés pour ce VPN IPsec.

Pour plus d’informations sur les champs, voir le tableau 2.

Passerelle locale

Affiche l’icône de la passerelle locale dans la topologie. Cliquez sur l’icône pour configurer la passerelle locale.

Pour plus d’informations sur les champs, voir le tableau 4.

Paramètres IKE et IPsec

Configurez la proposition IKE ou IPsec personnalisée et la proposition IPsec personnalisée avec des algorithmes ou des valeurs recommandés.

Pour plus d’informations sur les champs, voir le tableau 6.

La passerelle est derrière NAT

Si cette option est activée, l’adresse IP externe configurée (IPv4 ou IPv6) est appelée adresse IP de l’équipement NAT.

Identité IKE

Sélectionnez une option dans la liste pour configurer l’identité distante.

Nom de l’hôte

Saisissez un nom d’hôte distant.

Adresse IPv4

Saisissez une adresse IPv4 distante.

Adresse IPv6

Saisissez une adresse IPv6 distante.

ID de clé

Saisissez un ID de clé.

Adresse e-mail

Saisissez une adresse e-mail.

Adresse IP externe

Saisissez l’adresse IPv4 ou IPv6 de l’homologue. Vous pouvez créer un réseau peer principal avec jusqu’à quatre sauvegardes.

Vous devez saisir une adresse IPv4 ou IPv6 ou saisir jusqu’à cinq adresses IP séparées par une virgule.

Réseaux protégés

Lorsque vous sélectionnez un mode de routage, répertorie toutes les adresses globales.

Sélectionnez les adresses dans la colonne Disponible, puis cliquez sur la flèche droite pour les déplacer vers la colonne Sélectionnée.

Lorsque le mode de routage est :

• Sélecteur de trafic : les adresses IP seront utilisées en tant qu’ADRESSE IP distante dans la configuration du sélecteur de trafic.

• Routage statique :

  • Le routage statique sera configuré pour l’adresse globale sélectionnée.

  • L’interface de tunnel (st0.x) de la passerelle locale sera utilisée comme saut suivant.

• Routage dynamique : la valeur par défaut est n’importe quelle. Vous pouvez également sélectionner une(des) adresse(s) globale(s) spécifique(s). La valeur sélectionnée est configurée comme adresse de destination dans la stratégie de pare-feu.

Ajouter

Cliquez sur +.

La page Créer une adresse globale s’affiche. Voir le tableau 3 pour obtenir des informations sur les champs.

Nom

Saisissez une chaîne unique qui doit commencer par un caractère alphanumérique et peut inclure des points, des points, des tirets et des traits de soulignement ; pas d’espaces autorisés ; 63 caractères maximum.

IP Type

Sélectionnez IPv4 ou IPv6.

IPv4

Adresse IPv4 : saisissez une adresse IPv4 valide.

Sous-réseau : saisissez le sous-réseau pour l’adresse IPv4.

IPv6

Adresse IPv6 : saisissez une adresse IPv6 valide.

Préfixe de sous-réseau : saisissez un masque de sous-réseau pour la plage de réseau. Une fois saisie, la valeur est validée.

La passerelle est derrière NAT

Activez cette option lorsque la passerelle locale est derrière un équipement NAT.

Identité IKE

Sélectionnez une option dans la liste pour configurer l’identité locale. Lorsque la passerelle est derrière nat est activée, vous pouvez configurer une adresse IPv4 ou IPv6 pour référencer l’équipement NAT.

Nom de l’hôte

Saisissez un nom d’hôte.

Adresse IPv4

Saisissez une adresse IPv4.

Adresse IPv6

Saisissez une adresse IPv6.

ID de clé

Saisissez un ID de clé.

Adresse e-mail

Saisissez une adresse e-mail.

Interface externe

Sélectionnez une interface sortante dans la liste pour les négociations IKE.

La liste contient toutes les adresses IP disponibles si plusieurs adresses IP sont configurées sur l’interface spécifiée. L’adresse IP sélectionnée sera configurée en tant qu’adresse locale sous la passerelle IKE.

Tunnel Interface

Sélectionnez une interface dans la liste pour la lier à l’interface de tunnel (VPN basé sur le routage).

Cliquez sur Ajouter pour ajouter une nouvelle interface. La page Créer une interface tunnel s’affiche. Voir le tableau 5.

ID de routeur

Saisissez l’adresse IP de l’équipement de routage.

ID de zone

Saisissez un ID de zone allant de 0 à 4 294 967 295, où les interfaces tunnel de ce VPN doivent être configurées.

Tunnel Interface Passive

Activez cette option pour contourner le trafic des vérifications IP actives habituelles.

ASN

Saisissez le numéro AS de l’équipement de routage.

Utilisez un numéro qui vous a été attribué par la carte réseau. Plage : 1 à 4 294 967 295 (232 à 1) en format simple pour les numéros AS à 4 octets.

ID voisin

Saisissez l’adresse IP d’un routeur voisin.

Type de groupe BGP

Sélectionnez le type de groupe d’homologues BGP dans la liste :

• externe : groupe externe, qui permet le routage BGP inter-AS.

• interne : groupe interne, qui permet le routage BGP intra-AS.

ASN homologue

Saisissez le numéro as (peer) du système autonome (peer).

Stratégies d’importation

Sélectionnez une ou plusieurs stratégies de routage dans la liste vers les routes importées dans la table de routage depuis BGP.

Cliquez sur Effacer tout pour effacer les polices sélectionnées.

Stratégies d’exportation

Sélectionnez une ou plusieurs stratégies dans la liste vers les routes exportées de la table de routage vers BGP.

Cliquez sur Effacer tout pour effacer les polices sélectionnées.

Certificat local

Sélectionnez un identifiant de certificat local lorsque l’équipement local a plusieurs certificats chargés.

Cliquez sur Ajouter pour générer un nouveau certificat. Cliquez sur Importer pour importer un certificat d’équipement. Pour plus d’informations, voir Gérer les certificats d’équipement.

Ca/groupe de confiance

Sélectionnez le profil de l’autorité de certification (CA) dans la liste pour l’associer au certificat local.

Cliquez sur Ajouter pour ajouter un nouveau profil de CA. Pour plus d’informations, voir Gérer une autorité de certification de confiance.

Clé pré-partagée

Saisissez la valeur de la clé prépartagée. La clé peut être l’une des suivantes :

• ascii-text : clé de texte ASCII.

• hexadécimale : clé hexadécimale.

Réseaux protégés

Cliquez sur +. La page Créer des réseaux protégés s’affiche.

Zone

Sélectionnez une zone de sécurité dans la liste qui sera utilisée comme zone source dans la stratégie de pare-feu.

Adresse globale

Sélectionnez les adresses dans la colonne Disponible, puis cliquez sur la flèche droite pour les déplacer vers la colonne Sélectionnée.

Ajouter

Cliquez sur Ajouter.

La page Créer une adresse globale s’affiche. Voir le tableau 3.

Modifier

Sélectionnez le réseau protégé que vous souhaitez modifier et cliquez sur l’icône du crayon.

La page Modifier l’adresse globale s’affiche avec des champs modifiables.

Supprimer

Sélectionnez le réseau protégé que vous souhaitez modifier et cliquez sur l’icône de suppression.

Le message de confirmation apparaît.

Cliquez sur Oui pour supprimer.

Unité d’interface

Saisissez le numéro de l’unité logique.

Description

Saisissez une description de l’interface logique.

Zone

Sélectionnez une zone pour l’interface logique dans la liste à utiliser comme zone source dans la stratégie de pare-feu.

Cliquez sur Ajouter pour ajouter une nouvelle zone. Saisissez le nom et la description de la zone, puis cliquez sur OK sur la page Créer une zone de sécurité.

Instance de routage

Sélectionnez une instance de routage dans la liste.

Adresse IPv4

Saisissez une adresse IPv4 valide.

Préfixe de sous-réseau

Saisissez un masque de sous-réseau pour l’adresse IPv4.

Adresse IPv6

Saisissez une adresse IPv6 valide.

Préfixe de sous-réseau

Saisissez un masque de sous-réseau pour la plage du réseau. Une fois saisie, la valeur est validée.

IKE Version

Sélectionnez la version IKE requise, v1 ou v2 pour négocier des associations de sécurité dynamiques (AS) pour IPsec.

La valeur par défaut est v2.

IKE Mode

Sélectionnez le mode de stratégie IKE dans la liste :

• agressif : prenez la moitié du nombre de messages du mode principal, a moins de pouvoir de négociation et ne protège pas l’identité.

• principal : utilisez six messages, dans trois échanges peer-to-peer, pour établir l’IKE SA. Ces trois étapes comprennent la négociation IKE SA, un échange Diffie-Hellman et l’authentification du pair. Fournit également une protection de l’identité.

Algorithme de chiffrement

Sélectionnez le mécanisme de chiffrement approprié dans la liste.

La valeur par défaut est aes-256-gcm.

Algorithme d’authentification

Sélectionnez l’algorithme d’authentification dans la liste. Par exemple, hmac-md5-96 — Produit un digest 128 bits et hmac-sha1-96 — Produit un digest 160 bits.

Groupe DH

Un échange Diffie-Hellman (DH) permet aux participants de générer une valeur secrète partagée. Sélectionnez le groupe DH approprié dans la liste. La valeur par défaut est group19.

Secondes à vie

Sélectionnez une vie d’une association de sécurité IKE (SA). Par défaut : 28 800 secondes. Portée : 180 à 86 400 secondes.

Détection des pairs morts

Activez cette option pour envoyer des requêtes de détection d’homologues morts, qu’il y ait ou non un trafic IPsec sortant vers l’homologue.

DPD Mode

Sélectionnez l’une des options dans la liste :

• optimisé : envoyez des sondes uniquement lorsqu’il y a du trafic sortant et qu’il n’y a pas de trafic de données entrant - RFC3706 (mode par défaut).

• tunnel de sonde inactif : envoyez des sondes de la même manière qu’en mode optimisé et en l’absence de trafic de données sortant et entrant.

• toujours envoyer : envoyez régulièrement des sondes, quel que soit le trafic de données entrant et sortant.

Intervalle DPD

Sélectionnez un intervalle en quelques secondes pour envoyer des messages de détection des pairs morts. L’intervalle par défaut est de 10 secondes. La portée est de 2 à 60 secondes.

Seuil DPD

Sélectionnez un nombre de 1 à 5 pour définir le seuil de défaillance DPD.

Cela spécifie le nombre maximal de fois que les messages DPD doivent être envoyés en l’absence de réponse de l’homologue. Le nombre de transmissions par défaut est 5 fois.

ID IKE général

Activez cette option pour accepter l’id IKE peer.

AUTHENTIFICATION IKEv2

Configurez la fréquence de réauthentification pour déclencher une nouvelle IKEv2.

IKEv2 Re-fragmentation

Cette option est activée par défaut.

Taille du re-fragment IKEv2

Sélectionnez la taille maximale(en octets) d’un message IKEv2 avant qu’il ne soit divisé en fragments.

La taille s’applique aux messages IPv4 et IPv6. Plage : 570 à 1 320 octets.

Les valeurs par défaut sont les suivantes :

• Messages IPv4 : 576 octets.

• Messages IPv6 : 1 280 octets.

NAT-T

Activez cette option pour que le trafic IPsec passe par un équipement NAT.

NAT-T est un algorithme IKE de phase 1 qui est utilisé pour établir une connexion VPN entre deux équipements de passerelle, où il y a un équipement NAT devant l’un des équipements SRX Series.

NAT en vie

Sélectionnez l’intervalle de maintien approprié en quelques secondes. Portée : 1 à 300.

Si le VPN doit avoir de longues périodes d’inactivité, vous pouvez configurer des valeurs de conservation pour générer du trafic artificiel afin de maintenir la session active sur les équipements NAT.

Protocole

Sélectionnez le protocole ESP (Encapsulation Security Protocol) ou l’en-tête d’authentification (AH) dans la liste pour établir un VPN. La valeur par défaut est ESP.

Algorithme de chiffrement

Sélectionnez la méthode de chiffrement. La valeur par défaut est aes-256-gcm.

Algorithme d’authentification

Sélectionnez l’algorithme d’authentification IPsec dans la liste. Par exemple, hmac-md5-96 — Produit un digest 128 bits et hmac-sha1-96 — Produit un digest 160 bits.

Confidentialité de transfert parfaite

Sélectionnez Perfect Forward Secrecy (PFS) dans la liste. L’équipement utilise cette méthode pour générer la clé de chiffrement. La valeur par défaut est group19.

PFS génère chaque nouvelle clé de chiffrement indépendamment de la clé précédente. Les groupes numérotés les plus élevés offrent plus de sécurité, mais nécessitent plus de temps de traitement.

Secondes à vie

Sélectionnez la durée de vie (en quelques secondes) d’une association de sécurité IPsec (SA). Lorsque le SA expire, il est remplacé par un nouvel index SA et des paramètres de sécurité (SPI) ou terminé. Par défaut est de 3 600 secondes. Portée : 180 à 86 400 secondes.

Kilo-octets à vie

Sélectionnez la durée de vie (en kilooctets) d’une SA IPsec. La valeur par défaut est de 128 ko. Portée : 64 à 4294967294.

Établir un tunnel

Activez cette option pour établir le tunnel IPsec. L’IKE est immédiatement activé (valeur par défaut) une fois qu’un VPN est configuré et que les modifications de configuration sont validées.

Moniteur VPN

Activez cette option pour l’utiliser dans une adresse IP de destination.

Destination IP

Saisissez la destination des pings ICMP (Internet Control Message Protocol). L'équipement utilise l'adresse de passerelle de l'homologue par défaut.

Optimisé

Activez cette option pour l’objet VPN. S’il est activé, l’équipement SRX Series n’envoie des requêtes d’écho ICMP (pings) que lorsqu’il y a du trafic sortant et qu’il n’y a pas de trafic entrant de l’homologue configuré via le tunnel VPN. S’il y a du trafic entrant par le tunnel VPN, l’équipement SRX Series considère le tunnel comme actif et n’envoie pas de pings à l’homologue.

Cette option est désactivée par défaut.

Source Interface

Sélectionnez l’interface source pour les requêtes ICMP dans la liste. Si aucune interface source n’est spécifiée, l’équipement utilise automatiquement l’interface de terminal de tunnel local.

Vérifier le chemin

Activez cette option pour vérifier le chemin de données IPsec avant l’activation de l’interface du tunnel sécurisé (st0) et l’installation des routes associées à l’interface dans la table de transfert Junos OS.

Cette option est désactivée par défaut.

Destination IP

Saisissez l’adresse IP de destination. Adresse IP originale et non traduite du point de terminaison du tunnel homologue qui se trouve derrière un équipement NAT. Cette adresse IP ne doit pas être l’adresse IP traduite par NAT. Cette option est requise si le point de terminaison du tunnel homologue se trouve derrière un équipement NAT. La demande ICMP de chemin de vérification est envoyée à cette adresse IP afin que l’homologue puisse générer une réponse ICMP.

Taille du paquet

Saisissez la taille du paquet utilisé pour vérifier un chemin de données IPsec avant que l’interface st0 ne soit mise en place. Plage : 64 à 1 350 octets. La valeur par défaut est de 64 octets.

Anti Replay

IPsec protège contre les attaques VPN en utilisant une séquence de nombres intégrée au paquet IPsec: le système n’accepte pas un paquet avec le même numéro de séquence.

Cette option est activée par défaut. L’anti-replay vérifie les numéros de séquence et applique la vérification, plutôt que d’ignorer simplement les nombres de séquence.

Désactivez l’anti-replay en cas d’erreur avec le mécanisme IPsec qui entraîne des paquets en panne, ce qui empêche les fonctionnalités appropriées.

Intervalle d’installation

Sélectionnez le nombre maximal de secondes pour permettre l’installation d’une association de sécurité sortante (SA) rekeyed sur l’équipement. Sélectionnez une valeur de 1 à 10.

Temps d’inactivité

Sélectionnez l’intervalle de temps d’inactivité. Les sessions et leurs traductions correspondantes s’arrêtent après un certain laps de temps si aucun trafic n’est reçu. La portée est de 60 à 999999 secondes.

DF Bit

Sélectionnez la façon dont l'équipement gère le bit Don't Fragment (DF) dans l'en-tête externe :

• clear :effacer (désactiver) le DF bit de l’en-tête externe. C’est la valeur par défaut.

• copy : copiez le bit DF dans l’en-tête externe.

• set : définissez (activez) le bit DF dans l’en-tête externe.

Copier le DSCP externe

Cette option est activée par défaut. Cela permet de copier le point de code de services différencié (DSCP+ ECN) à partir du paquet chiffré d’en-tête IP externe vers le message en texte brut de l’en-tête IP interne sur le chemin de déchiffrement. En activant cette fonctionnalité, après le déchiffrement IPsec, les paquets en texte clair peuvent suivre les règles coS internes (DSCP+ECN).