Créer un VPN de site à site

Nom

Saisissez un nom pour le VPN.

Description

Saisissez une description. Cette description sera utilisée pour les propositions et stratégies IKE et IPsec. Lors de la modification, la description de la stratégie IPsec sera affichée et mise à jour.

Mode routage

Sélectionnez le mode de routage auquel ce VPN sera associé :

• Sélecteur de trafic (insertion automatique du routage)

• Routage statique

• Routage dynamique – OSPF

• Routage dynamique – BGP

Pour chaque topologie, J-Web génère automatiquement les INTERFACES de ligne de commandes pertinentes. Le sélecteur de trafic est le mode par défaut.

Méthode d’authentification

Sélectionnez une méthode d’authentification dans la liste utilisée par l’équipement pour authentifier la source des messages IKE (Internet Key Exchange) :

• Basé sur les certificats : types de signatures numériques qui sont des certificats qui confirment l’identité du titulaire du certificat.

  Voici les méthodes d’authentification pour un certificat :

  • rsa-signatures : spécifie qu’un algorithme de clé publique, prenant en charge le chiffrement et les signatures numériques, est utilisé.

  • dsa-signatures : spécifie que l’algorithme de signature numérique (DSA) est utilisé.

  • ecdsa-signatures-256 — Spécifie que la courbe elliptique DSA (ECDSA) utilisant la courbe elliptique 256 bits secp256r1, comme spécifié dans la norme DSS (Federal Information Processing Standard) 186-3, est utilisée.

  • ecdsa-signatures-384 — Spécifie que l’ECDSA utilisant la courbe elliptique 384 bits secp384r1, comme spécifié dans le FIPS DSS 186-3, est utilisé.

  • ecdsa-signatures-521 — Spécifie que l’ECDSA utilisant la courbe elliptique 521 bits secp521r1 est utilisée.

    Note:

    ecdsa-signatures-521 prend en charge uniquement la gamme d’équipements SRX5000 avec carte SPC3 et package junos-ike installés.

• Clé pré-partagée (méthode par défaut) : spécifie qu’une clé pré-partagée, qui est une clé secrète partagée entre les deux pairs, est utilisée lors de l’authentification pour identifier les pairs entre eux. La même clé doit être configurée pour chaque pair. Il s’agit de la méthode par défaut.

Stratégie de pare-feu de création automatique

Si vous sélectionnez Oui, une stratégie de pare-feu est automatiquement mise en place entre une zone interne et une zone d’interface tunnel avec des réseaux locaux protégés comme adresse source et des réseaux distants protégés comme adresse de destination.

Une autre politique de pare-feu sera créée visa-versa.

Si vous choisissez Non, vous n’avez pas d’option de stratégie de pare-feu. Vous devez créer manuellement la stratégie de pare-feu requise pour que ce VPN fonctionne.

Passerelle distante

Affiche l’icône de la passerelle distante dans la topologie. Cliquez sur l’icône pour configurer la passerelle distante.

La passerelle identifie l’pair distant avec les pairs VPN IPsec et définit les paramètres appropriés pour ce VPN IPsec.

Pour plus d’informations sur les champs, voir Tableau 2.

Passerelle locale

Affiche l’icône de la passerelle locale dans la topologie. Cliquez sur l’icône pour configurer la passerelle locale.

Pour plus d’informations sur les champs, voir Tableau 4.

Paramètres IKE et IPsec

Configurez la proposition IKE ou IPsec personnalisée et la proposition IPsec personnalisée avec des algorithmes ou des valeurs recommandés.

Pour plus d’informations sur les champs, voir Tableau 6.

La passerelle est derrière la traduction d’adresses réseau (NAT)

Si elle est activée, l’adresse IP externe configurée (IPv4 ou IPv6) est appelée adresse IP de l’équipement NAT.

Identité IKE

Sélectionnez une option dans la liste pour configurer l’identité distante.

Nom de l’hôte

Saisissez un nom d’hôte distant.

Adresse IPv4

Saisissez une adresse IPv4 à distance.

Adresse IPv6

Saisissez une adresse IPv6 distante.

ID de clé

Saisissez un ID de clé.

Adresse électronique

Saisissez une adresse électronique.

Adresse IP externe

Saisissez l’adresse IPv4 ou IPv6. Vous pouvez créer un réseau principal avec jusqu’à quatre sauvegardes.

Vous devez saisir une adresse IPv4 ou IPv6 ou saisir jusqu’à cinq adresses IP séparées par une virgule.

Réseaux protégés

Lorsque vous sélectionnez un mode de routage, répertorie toutes les adresses globales.

Sélectionnez les adresses dans la colonne Disponible, puis cliquez sur la flèche de droite pour la déplacer vers la colonne Sélectionnée.

Lorsque le mode routage est :

• Sélecteur de trafic : les adresses IP seront utilisées comme adresse IP distante dans la configuration du sélecteur de trafic.

• Routage statique :

  • Le routage statique sera configuré pour l’adresse globale(es) sélectionnée(s).

  • L’interface tunnel (st0.x) de la passerelle locale sera utilisée comme saut suivant.

• Routage dynamique : la valeur par défaut est any. Vous pouvez également sélectionner une(s) adresse(s) globale(s) spécifique(s). La valeur sélectionnée est configurée comme adresse de destination dans la stratégie de pare-feu.

Ajouter

Cliquez sur +.

La page Créer une adresse globale s’affiche. Pour plus d’informations, reportez-vous au tableau 3 .

Nom

Saisissez une chaîne unique qui doit commencer par un caractère alphanumérique et peut inclure des points, des périodes, des traits et des traits de soulignement; pas d’espaces autorisés; 63 caractères maximum.

IP Type

Sélectionnez IPv4 ou IPv6.

IPv4

Adresse IPv4 : saisissez une adresse IPv4 valide.

Sous-réseau : entrez le sous-réseau pour l’adresse IPv4.

IPv6

Adresse IPv6 : saisissez une adresse IPv6 valide.

Préfixe de sous-réseau : saisissez un masque de sous-réseau pour la plage de réseaux. Une fois saisie, la valeur est validée.

La passerelle est derrière la traduction d’adresses réseau (NAT)

Activez cette option lorsque la passerelle locale se trouve derrière un équipement NAT.

Identité IKE

Sélectionnez une option dans la liste pour configurer l’identité locale. Lorsque la passerelle est derrière l’activation nat , vous pouvez configurer une adresse IPv4 ou IPv6 pour faire référence à l’équipement NAT.

Nom de l’hôte

Saisissez un nom d’hôte.

Adresse IPv4

Saisissez une adresse IPv4.

Adresse IPv6

Saisissez une adresse IPv6.

ID de clé

Saisissez un ID de clé.

Adresse électronique

Saisissez une adresse électronique.

Interface externe

Sélectionnez une interface sortante dans la liste pour les négociations IKE.

La liste contient toutes les adresses IP disponibles si plusieurs adresses IP sont configurées pour l’interface spécifiée. L’adresse IP sélectionnée sera configurée comme adresse locale sous la passerelle IKE.

Tunnel Interface

Sélectionnez une interface dans la liste pour la lier à l’interface du tunnel (VPN basé sur le routage).

Cliquez sur Ajouter pour ajouter une nouvelle interface. La page Créer une interface tunnel s’affiche. Voir tableau 5.

ID de routeur

Saisissez l’adresse IP du périphérique de routage.

ID de zone

Entrez un ID de zone dans la plage de 0 à 4 294 967 295, où les interfaces de tunnel de ce VPN doivent être configurées.

Tunnel Interface Passive

Activez cette option pour contourner le trafic des vérifications IP actives habituelles.

Asn

Saisissez le numéro AS de l’équipement de routage.

Utilisez un numéro qui vous est attribué par le NIC. Plage : 1 à 4 294 967 295 (232 – 1) en format simple pour les numéros AS à 4 octets.

ID de voisin

Saisissez l’adresse IP d’un routeur voisin.

Type de groupe BGP

Sélectionnez le type de groupe d’pairs BGP dans la liste :

• externe : groupe externe permettant le routage BGP inter-AS.

• interne : groupe interne permettant le routage BGP intra-AS.

ASN pair

Entrez le numéro d’autonomie du système autonome (AS) voisin (peer).

Importer des stratégies

Sélectionnez une ou plusieurs stratégies de routage dans la liste jusqu’aux routes importées dans la table de routage à partir de BGP.

Cliquez sur Effacer tout pour effacer les polices sélectionnées.

Stratégies d’exportation

Sélectionnez une ou plusieurs stratégies dans la liste vers des routes en cours d’exportation à partir de la table de routage vers BGP.

Cliquez sur Effacer tout pour effacer les polices sélectionnées.

Certificat local

Sélectionnez un identificateur de certificat local lorsque l’équipement local dispose de plusieurs certificats chargés.

Cliquez sur Ajouter pour générer un nouveau certificat. Cliquez sur Importer pour importer un certificat d’équipement. Pour plus d’informations, voir Gérer les certificats d’équipement.

Autorité de certification/Groupe de confiance

Sélectionnez le profil d’autorité de certification (CA) dans la liste pour l’associer au certificat local.

Cliquez sur Ajouter pour ajouter un nouveau profil d’autorité de certification. Pour plus d’informations, reportez-vous à Manage Trusted Certificate Authority.

Clé pré-partagée

Saisissez la valeur de la clé prépartage. La clé peut être l’une des suivantes :

• ascii-text—Clé de texte ASCII.

• hexadécimale : clé hexadécimale.

Réseaux protégés

Cliquez sur +. La page Créer des réseaux protégés s’affiche.

Zone

Sélectionnez une zone de sécurité dans la liste qui sera utilisée comme zone source dans la stratégie de pare-feu.

Adresse globale

Sélectionnez les adresses dans la colonne Disponible, puis cliquez sur la flèche de droite pour la déplacer vers la colonne Sélectionnée.

Ajouter

Cliquez sur Ajouter.

La page Créer une adresse globale s’affiche. Voir tableau 3.

Modifier

Sélectionnez le réseau protégé que vous souhaitez modifier, puis cliquez sur l’icône au crayon.

La page Modifier l’adresse globale s’affiche avec des champs modifiables.

Supprimer

Sélectionnez le réseau protégé que vous souhaitez modifier, puis cliquez sur l’icône de suppression.

Le message de confirmation s’affiche.

Cliquez sur Oui pour supprimer.

Unité d’interface

Saisissez le numéro de l’unité logique.

Description

Saisissez une description de l’interface logique.

Zone

Sélectionnez une zone pour l’interface logique dans la liste à utiliser comme zone source dans la stratégie de pare-feu.

Cliquez sur Ajouter pour ajouter une nouvelle zone. Saisissez le nom et la description de la zone, puis cliquez sur OK dans la page Créer une zone de sécurité.

Instance de routage

Sélectionnez une instance de routage dans la liste.

Adresse IPv4

Saisissez une adresse IPv4 valide.

Préfixe de sous-réseau

Saisissez un masque de sous-réseau pour l’adresse IPv4.

Adresse IPv6

Saisissez une adresse IPv6 valide.

Préfixe de sous-réseau

Saisissez un masque de sous-réseau pour la plage de réseaux. Une fois saisie, la valeur est validée.

IKE Version

Sélectionnez la version IKE requise, v1 ou v2 pour négocier les associations de sécurité dynamiques pour IPsec.

La valeur par défaut est v2.

IKE Mode

Sélectionnez le mode de stratégie IKE dans la liste :

• agressive : prend la moitié du nombre de messages du mode principal, a moins de pouvoir de négociation et ne fournit pas de protection de l’identité.

• principal : utilisez six messages, dans trois échanges entre pairs, pour établir l’IKE SA. Ces trois étapes incluent la négociation IKE SA, un échange Diffie-Hellman et l’authentification de l’pair. Fournit également une protection de l’identité.

Algorithme de chiffrement

Sélectionnez le mécanisme de chiffrement approprié dans la liste.

La valeur par défaut est aes-256-gcm.

Algorithme d’authentification

Sélectionnez l’algorithme d’authentification dans la liste. Par exemple, hmac-md5-96 — Produit un digest 128 bits et hmac-sha1-96 — Produit un digeste de 160 bits.

Groupe DH

Un échange Diffie-Hellman (DH) permet aux participants de générer une valeur secrète partagée. Sélectionnez le groupe DH approprié dans la liste. La valeur par défaut est group19.

Durée de vie en secondes

Sélectionnez une vie d’association de sécurité IKE (SA). Par défaut : 28 800 secondes. Plage : de 180 à 86 400 secondes.

Détection des pairs morts

Activez cette option pour envoyer des requêtes de détection d’pairs mortes, que le trafic IPsec sortant soit ou non envoyé à l’pair.

DPD Mode

Sélectionnez l’une des options de la liste :

• optimisé : envoie des sondes uniquement lorsqu’il y a du trafic sortant et aucun trafic de données entrant - RFC3706 (mode par défaut).

• probe-idle-tunnel : envoie les sondes de la même manière qu’en mode optimisé, ainsi qu’en l’absence de trafic de données sortant et entrant.

• toujours envoyer : envoie des sondes périodiquement, quel que soit le trafic de données entrant et sortant.

Intervalle DPD

Sélectionnez un intervalle en secondes pour envoyer des messages de détection d’pairs morts. L’intervalle par défaut est de 10 secondes. La plage est de 2 à 60 secondes.

Seuil DPD

Sélectionnez un numéro de 1 à 5 pour définir le seuil de DPD de défaillance.

Cette fonction spécifie le nombre maximal de fois où les messages DPD doivent être envoyés en l’absence de réponse de la part de l’pair. Le nombre de transmissions par défaut est cinq fois.

Id IKE général

Activez cette option pour accepter l’id IKE pair.

Re-authentification IKEv2

Configurez la fréquence de ré-authentification pour déclencher une nouvelle authentification IKEv2.

IKEv2 Re-fragmentation

Cette option est activée par défaut.

Taille du re-fragmentage IKEv2

Sélectionnez la taille maximale, en octets, d’un message IKEv2 avant qu’il ne soit fractionné en fragments.

La taille s’applique aux messages IPv4 et IPv6. Plage : 570 à 1 320 octets.

Les valeurs par défaut sont les suivantes :

• Messages IPv4 : 576 octets.

• Messages IPv6 : 1 280 octets.

NAT-T

Activez cette option pour que le trafic IPsec passe par un équipement NAT.

NAT-T est un algorithme IKE de phase 1 utilisé pour établir une connexion VPN entre deux équipements de passerelle, où il y a un équipement NAT devant l’un des équipements SRX Series.

Nat : restez en vie

Sélectionnez l’intervalle keepalive approprié en secondes. Plage : 1 à 300.

Si l’on s’attend à ce que le VPN affiche de grandes périodes d’inactivité, vous pouvez configurer des valeurs keepalives pour générer du trafic artificiel afin de maintenir la session active sur les équipements NAT.

Protocole

Sélectionnez le protocole ESP (Encapsulation Security Protocol) ou AH (Authentication Header) dans la liste pour établir un VPN. La valeur par défaut est ESP.

Algorithme de chiffrement

Sélectionnez la méthode de chiffrement. La valeur par défaut est aes-256-gcm.

Algorithme d’authentification

Sélectionnez l’algorithme d’authentification IPsec dans la liste. Par exemple, hmac-md5-96 — Produit un digest 128 bits et hmac-sha1-96 — Produit un digeste de 160 bits.

Confidentialité de transfert parfaite

Sélectionnez Le secret de transfert parfait (PFS) dans la liste. L’équipement utilise cette méthode pour générer la clé de chiffrement. La valeur par défaut est group19.

Le PFS génère chaque nouvelle clé de chiffrement indépendamment de la clé précédente. Les groupes numérotés plus nombreux fournissent plus de sécurité, mais nécessitent plus de temps de traitement.

Durée de vie en secondes

Sélectionnez la durée de vie (en secondes) d’une association de sécurité IPsec (SA). Lorsque le sa expire, il est remplacé par un nouveau SA et SPI (Security Parameter Index) ou terminé. La valeur par défaut est 3 600 secondes. Plage : de 180 à 86 400 secondes.

Kilooctets à vie

Sélectionnez la durée de vie (en kilo-octets) d’un SA IPsec. La valeur par défaut est 128 Ko. Plage : de 64 à 4294967294.

Établir un tunnel

Activez cette option pour établir le tunnel IPsec. L’IKE est activé immédiatement (valeur par défaut) après la configuration d’un VPN et l’activation des modifications de configuration.

Moniteur VPN

Activez cette option pour l’utiliser dans une adresse IP de destination.

Destination IP

Saisissez la destination des pings ICMP (Internet Control Message Protocol). L’équipement utilise l’adresse de passerelle de l’pair par défaut.

Optimisé

Activez cette option pour l’objet VPN. Si elle est activée, l’équipement SRX Series envoie uniquement des requêtes d’écho ICMP (pings) lorsqu’il y a du trafic sortant et aucun trafic entrant du peer configuré via le tunnel VPN. S’il y a du trafic entrant via le tunnel VPN, l’équipement SRX Series considère que le tunnel est actif et n’envoie pas de pings à l’appairage.

Cette option est désactivée par défaut.

Source Interface

Sélectionnez l’interface source pour les requêtes ICMP dans la liste. Si aucune interface source n’est spécifiée, l’équipement utilise automatiquement l’interface de point de terminaison du tunnel local.

Vérification du chemin

Activez cette option pour vérifier le chemin de données IPsec avant l’activation de l’interface secure tunnel (st0) et l’installation du ou des routages associés à l’interface dans la table de transfert Junos OS.

Cette option est désactivée par défaut.

Destination IP

Saisissez l’adresse IP de destination. Adresse IP originale non traduite du point de terminaison du tunnel d’appairage se trouve derrière un équipement NAT. Cette adresse IP ne doit pas être l’adresse IP traduite NAT. Cette option est requise si le point de terminaison du tunnel appairé se trouve derrière un équipement NAT. La requête ICMP de chemin de vérification est envoyée à cette adresse IP afin que l’pair puisse générer une réponse ICMP.

Taille des paquets

Saisissez la taille du paquet utilisé pour vérifier un chemin de données IPsec avant l’introduction de l’interface st0. Plage : 64 à 1 350 octets. La valeur par défaut est de 64 octets.

Anti-rejeu

IPsec protège contre les attaques VPN à l’aide d’une séquence de nombres intégrée au paquet IPsec : le système n’accepte pas de paquet avec le même numéro de séquence.

Cette option est activée par défaut. L’anti-replay vérifie les numéros de séquence et applique le contrôle, plutôt que de se contenter d’ignorer les numéros de séquence.

Désactivez l’anti-replay s’il y a une erreur avec le mécanisme IPsec qui entraîne des paquets hors ordre, ce qui empêche les fonctionnalités appropriées.

Intervalle d’installation

Sélectionnez le nombre maximal de secondes pour permettre l’installation d’une association de sécurité sortante (SA) re-clé sur l’équipement. Sélectionnez une valeur de 1 à 10.

Temps d’inactivité

Sélectionnez l’intervalle de temps d’inactivité. Les sessions et leurs traductions correspondantes s’étalent après un certain temps si aucun trafic n’est reçu. Plage de 60 à 999999 secondes.

DF Bit

Sélectionnez la façon dont l’unité gère le bit Don’t Fragment (DF) dans l’en-tête externe :

• effacer : effacer (désactiver) le DF bit à partir de l’en-tête externe. Il s’agit de la valeur par défaut.

• copier : copiez le DF bit dans l’en-tête externe.

• set: définissez (enable) le DF bit dans l’en-tête externe.

Copie DSCP externe

Cette option est activée par défaut. Cela permet de copier le DSCP (Differentiated Services Code Point) (DSCP+ECN externe) depuis le paquet chiffré d’en-tête IP externe vers le message texte en texte clair d’en-tête interne du chemin de déchiffrement. En activant cette fonctionnalité, après le déchiffrement IPsec, les paquets en texte clair peuvent suivre les règles CoS internes (DSCP+ECN).