Créer un VPN de site à site
Vous êtes ici : Réseau > VPN > VPN IPsec.
Pour créer un VPN de site à site :
Champ |
Action |
---|---|
Nom |
Saisissez un nom pour le VPN. |
Description |
Saisissez une description. Cette description sera utilisée pour les propositions et stratégies IKE et IPsec. Lors de la modification, la description de la stratégie IPsec sera affichée et mise à jour. |
Mode de routage |
Sélectionnez le mode de routage auquel ce VPN sera associé :
Pour chaque topologie, J-Web génère automatiquement les CLI pertinentes. Le sélecteur de trafic est le mode par défaut. |
Méthode d’authentification |
Sélectionnez une méthode d’authentification dans la liste que l’équipement utilise pour authentifier la source des messages Internet Key Exchange (IKE) :
|
Stratégie de pare-feu de création automatique |
Si vous sélectionnez Oui, une stratégie de pare-feu se situe automatiquement entre la zone interne et la zone d’interface du tunnel avec les réseaux locaux protégés comme adresse source et les réseaux protégés à distance comme adresse de destination. Une autre politique de pare-feu sera créée visa-versa. Si vous choisissez Non, vous n’avez pas d’option de stratégie de pare-feu. Vous devez créer manuellement la stratégie de pare-feu requise pour que ce VPN fonctionne.
Note:
Si vous ne souhaitez pas créer automatiquement une stratégie de pare-feu dans le flux de travail VPN, le réseau protégé est masqué pour un routage dynamique dans les passerelles locales et distantes. |
Passerelle distante |
Affiche l’icône de la passerelle distante dans la topologie. Cliquez sur l’icône pour configurer la passerelle distante. La passerelle identifie l’homologue distant avec les pairs VPN IPsec et définit les paramètres appropriés pour ce VPN IPsec. Pour plus d’informations sur les champs, voir le tableau 2. |
Passerelle locale |
Affiche l’icône de la passerelle locale dans la topologie. Cliquez sur l’icône pour configurer la passerelle locale. Pour plus d’informations sur les champs, voir le tableau 4. |
Paramètres IKE et IPsec |
Configurez la proposition IKE ou IPsec personnalisée et la proposition IPsec personnalisée avec des algorithmes ou des valeurs recommandés. Pour plus d’informations sur les champs, voir le tableau 6.
Note:
|
Champ |
Action |
---|---|
La passerelle est derrière NAT |
Si cette option est activée, l’adresse IP externe configurée (IPv4 ou IPv6) est appelée adresse IP de l’équipement NAT. |
Identité IKE |
Sélectionnez une option dans la liste pour configurer l’identité distante. |
Nom de l’hôte |
Saisissez un nom d’hôte distant. |
Adresse IPv4 |
Saisissez une adresse IPv4 distante. |
Adresse IPv6 |
Saisissez une adresse IPv6 distante. |
ID de clé |
Saisissez un ID de clé. |
Adresse e-mail |
Saisissez une adresse e-mail. |
Adresse IP externe |
Saisissez l’adresse IPv4 ou IPv6 de l’homologue. Vous pouvez créer un réseau peer principal avec jusqu’à quatre sauvegardes. Vous devez saisir une adresse IPv4 ou IPv6 ou saisir jusqu’à cinq adresses IP séparées par une virgule. |
Réseaux protégés |
Lorsque vous sélectionnez un mode de routage, répertorie toutes les adresses globales. Sélectionnez les adresses dans la colonne Disponible, puis cliquez sur la flèche droite pour les déplacer vers la colonne Sélectionnée. Lorsque le mode de routage est :
|
Ajouter |
Cliquez sur +. La page Créer une adresse globale s’affiche. Voir le tableau 3 pour obtenir des informations sur les champs. |
Champ |
Action |
---|---|
Nom |
Saisissez une chaîne unique qui doit commencer par un caractère alphanumérique et peut inclure des points, des points, des tirets et des traits de soulignement ; pas d’espaces autorisés ; 63 caractères maximum. |
IP Type |
Sélectionnez IPv4 ou IPv6. |
IPv4 |
Adresse IPv4 : saisissez une adresse IPv4 valide. Sous-réseau : saisissez le sous-réseau pour l’adresse IPv4. |
IPv6 |
Adresse IPv6 : saisissez une adresse IPv6 valide. Préfixe de sous-réseau : saisissez un masque de sous-réseau pour la plage de réseau. Une fois saisie, la valeur est validée. |
Champ |
Action |
---|---|
La passerelle est derrière NAT |
Activez cette option lorsque la passerelle locale est derrière un équipement NAT. |
Identité IKE |
Sélectionnez une option dans la liste pour configurer l’identité locale. Lorsque la passerelle est derrière nat est activée, vous pouvez configurer une adresse IPv4 ou IPv6 pour référencer l’équipement NAT. |
Nom de l’hôte |
Saisissez un nom d’hôte.
Note:
Cette option n’est disponible que si la passerelle est derrière NAT est désactivée. |
Adresse IPv4 |
Saisissez une adresse IPv4. |
Adresse IPv6 |
Saisissez une adresse IPv6. |
ID de clé |
Saisissez un ID de clé.
Note:
Cette option n’est disponible que si la passerelle est derrière NAT est désactivée. |
Adresse e-mail |
Saisissez une adresse e-mail.
Note:
Cette option n’est disponible que si la passerelle est derrière NAT est désactivée. |
Interface externe |
Sélectionnez une interface sortante dans la liste pour les négociations IKE. La liste contient toutes les adresses IP disponibles si plusieurs adresses IP sont configurées sur l’interface spécifiée. L’adresse IP sélectionnée sera configurée en tant qu’adresse locale sous la passerelle IKE. |
Tunnel Interface |
Sélectionnez une interface dans la liste pour la lier à l’interface de tunnel (VPN basé sur le routage). Cliquez sur Ajouter pour ajouter une nouvelle interface. La page Créer une interface tunnel s’affiche. Voir le tableau 5. |
ID de routeur |
Saisissez l’adresse IP de l’équipement de routage.
Note:
Cette option est disponible si le mode de routage est Le routage dynamique - OSPF ou BGP. |
ID de zone |
Saisissez un ID de zone allant de 0 à 4 294 967 295, où les interfaces tunnel de ce VPN doivent être configurées.
Note:
Cette option est disponible si le mode de routage est Le routage dynamique - OSPF. |
Tunnel Interface Passive |
Activez cette option pour contourner le trafic des vérifications IP actives habituelles.
Note:
Cette option est disponible si le mode de routage est Le routage dynamique - OSPF. |
ASN |
Saisissez le numéro AS de l’équipement de routage. Utilisez un numéro qui vous a été attribué par la carte réseau. Plage : 1 à 4 294 967 295 (232 à 1) en format simple pour les numéros AS à 4 octets.
Note:
Cette option est disponible si le mode de routage est Routage dynamique - BGP. |
ID voisin |
Saisissez l’adresse IP d’un routeur voisin.
Note:
Cette option est disponible si le mode de routage est Routage dynamique - BGP. |
Type de groupe BGP |
Sélectionnez le type de groupe d’homologues BGP dans la liste :
Note:
Cette option est disponible si le mode de routage est Routage dynamique - BGP. |
ASN homologue |
Saisissez le numéro as (peer) du système autonome (peer).
Note:
Cette option est disponible si vous choisissez external comme type de groupe BGP. |
Stratégies d’importation |
Sélectionnez une ou plusieurs stratégies de routage dans la liste vers les routes importées dans la table de routage depuis BGP. Cliquez sur Effacer tout pour effacer les polices sélectionnées.
Note:
Cette option est disponible si le mode de routage est Routage dynamique - BGP. |
Stratégies d’exportation |
Sélectionnez une ou plusieurs stratégies dans la liste vers les routes exportées de la table de routage vers BGP. Cliquez sur Effacer tout pour effacer les polices sélectionnées.
Note:
Cette option est disponible si le mode de routage est Routage dynamique - BGP. |
Certificat local |
Sélectionnez un identifiant de certificat local lorsque l’équipement local a plusieurs certificats chargés.
Note:
Cette option est disponible si la méthode d’authentification est basée sur des certificats. Cliquez sur Ajouter pour générer un nouveau certificat. Cliquez sur Importer pour importer un certificat d’équipement. Pour plus d’informations, voir Gérer les certificats d’équipement. |
Ca/groupe de confiance |
Sélectionnez le profil de l’autorité de certification (CA) dans la liste pour l’associer au certificat local.
Note:
Cette option est disponible si la méthode d’authentification est basée sur des certificats. Cliquez sur Ajouter pour ajouter un nouveau profil de CA. Pour plus d’informations, voir Gérer une autorité de certification de confiance. |
Clé pré-partagée |
Saisissez la valeur de la clé prépartagée. La clé peut être l’une des suivantes :
Note:
Cette option est disponible si la méthode d’authentification est une clé pré-partagée. |
Réseaux protégés |
Cliquez sur +. La page Créer des réseaux protégés s’affiche. |
Créer des réseaux protégés | |
Zone |
Sélectionnez une zone de sécurité dans la liste qui sera utilisée comme zone source dans la stratégie de pare-feu. |
Adresse globale |
Sélectionnez les adresses dans la colonne Disponible, puis cliquez sur la flèche droite pour les déplacer vers la colonne Sélectionnée. |
Ajouter |
Cliquez sur Ajouter. La page Créer une adresse globale s’affiche. Voir le tableau 3. |
Modifier |
Sélectionnez le réseau protégé que vous souhaitez modifier et cliquez sur l’icône du crayon. La page Modifier l’adresse globale s’affiche avec des champs modifiables. |
Supprimer |
Sélectionnez le réseau protégé que vous souhaitez modifier et cliquez sur l’icône de suppression. Le message de confirmation apparaît. Cliquez sur Oui pour supprimer. |
Champ |
Action |
---|---|
Unité d’interface |
Saisissez le numéro de l’unité logique. |
Description |
Saisissez une description de l’interface logique. |
Zone |
Sélectionnez une zone pour l’interface logique dans la liste à utiliser comme zone source dans la stratégie de pare-feu. Cliquez sur Ajouter pour ajouter une nouvelle zone. Saisissez le nom et la description de la zone, puis cliquez sur OK sur la page Créer une zone de sécurité. |
Instance de routage |
Sélectionnez une instance de routage dans la liste. |
IPv4
Note:
Cette option n’est disponible que si vous sélectionnez le mode de routage en tant que routage dynamique - OSPF ou BGP. |
|
Adresse IPv4 |
Saisissez une adresse IPv4 valide. |
Préfixe de sous-réseau |
Saisissez un masque de sous-réseau pour l’adresse IPv4. |
IPv6
Note:
Cette option n’est disponible que si vous sélectionnez le mode de routage en tant que routage dynamique - OSPF ou BGP. |
|
Adresse IPv6 |
Saisissez une adresse IPv6 valide. |
Préfixe de sous-réseau |
Saisissez un masque de sous-réseau pour la plage du réseau. Une fois saisie, la valeur est validée. |
Champ |
Action |
---|---|
Paramètres IKE | |
IKE Version |
Sélectionnez la version IKE requise, v1 ou v2 pour négocier des associations de sécurité dynamiques (AS) pour IPsec. La valeur par défaut est v2. |
IKE Mode |
Sélectionnez le mode de stratégie IKE dans la liste :
|
Algorithme de chiffrement |
Sélectionnez le mécanisme de chiffrement approprié dans la liste. La valeur par défaut est aes-256-gcm. |
Algorithme d’authentification |
Sélectionnez l’algorithme d’authentification dans la liste. Par exemple, hmac-md5-96 — Produit un digest 128 bits et hmac-sha1-96 — Produit un digest 160 bits.
Note:
Cette option est disponible lorsque l’algorithme de chiffrement n’est pas gcm. |
Groupe DH |
Un échange Diffie-Hellman (DH) permet aux participants de générer une valeur secrète partagée. Sélectionnez le groupe DH approprié dans la liste. La valeur par défaut est group19. |
Secondes à vie |
Sélectionnez une vie d’une association de sécurité IKE (SA). Par défaut : 28 800 secondes. Portée : 180 à 86 400 secondes. |
Détection des pairs morts |
Activez cette option pour envoyer des requêtes de détection d’homologues morts, qu’il y ait ou non un trafic IPsec sortant vers l’homologue. |
DPD Mode |
Sélectionnez l’une des options dans la liste :
|
Intervalle DPD |
Sélectionnez un intervalle en quelques secondes pour envoyer des messages de détection des pairs morts. L’intervalle par défaut est de 10 secondes. La portée est de 2 à 60 secondes. |
Seuil DPD |
Sélectionnez un nombre de 1 à 5 pour définir le seuil de défaillance DPD. Cela spécifie le nombre maximal de fois que les messages DPD doivent être envoyés en l’absence de réponse de l’homologue. Le nombre de transmissions par défaut est 5 fois. |
Configuration avancée (facultatif) | |
ID IKE général |
Activez cette option pour accepter l’id IKE peer. |
AUTHENTIFICATION IKEv2 |
Configurez la fréquence de réauthentification pour déclencher une nouvelle IKEv2. |
IKEv2 Re-fragmentation |
Cette option est activée par défaut. |
Taille du re-fragment IKEv2 |
Sélectionnez la taille maximale(en octets) d’un message IKEv2 avant qu’il ne soit divisé en fragments. La taille s’applique aux messages IPv4 et IPv6. Plage : 570 à 1 320 octets. Les valeurs par défaut sont les suivantes :
|
NAT-T |
Activez cette option pour que le trafic IPsec passe par un équipement NAT. NAT-T est un algorithme IKE de phase 1 qui est utilisé pour établir une connexion VPN entre deux équipements de passerelle, où il y a un équipement NAT devant l’un des équipements SRX Series. |
NAT en vie |
Sélectionnez l’intervalle de maintien approprié en quelques secondes. Portée : 1 à 300. Si le VPN doit avoir de longues périodes d’inactivité, vous pouvez configurer des valeurs de conservation pour générer du trafic artificiel afin de maintenir la session active sur les équipements NAT. |
Paramètres IPsec | |
Protocole |
Sélectionnez le protocole ESP (Encapsulation Security Protocol) ou l’en-tête d’authentification (AH) dans la liste pour établir un VPN. La valeur par défaut est ESP. |
Algorithme de chiffrement |
Sélectionnez la méthode de chiffrement. La valeur par défaut est aes-256-gcm.
Note:
Cette option n’est disponible que pour le protocole ESP. |
Algorithme d’authentification |
Sélectionnez l’algorithme d’authentification IPsec dans la liste. Par exemple, hmac-md5-96 — Produit un digest 128 bits et hmac-sha1-96 — Produit un digest 160 bits.
Note:
Cette option est disponible lorsque l’algorithme de chiffrement n’est pas gcm. |
Confidentialité de transfert parfaite |
Sélectionnez Perfect Forward Secrecy (PFS) dans la liste. L’équipement utilise cette méthode pour générer la clé de chiffrement. La valeur par défaut est group19. PFS génère chaque nouvelle clé de chiffrement indépendamment de la clé précédente. Les groupes numérotés les plus élevés offrent plus de sécurité, mais nécessitent plus de temps de traitement.
Note:
group15, group16 et group21 ne prennent en charge que la gamme d’équipements SRX5000 avec une carte SPC3 et un package junos-ike installés. |
Secondes à vie |
Sélectionnez la durée de vie (en quelques secondes) d’une association de sécurité IPsec (SA). Lorsque le SA expire, il est remplacé par un nouvel index SA et des paramètres de sécurité (SPI) ou terminé. Par défaut est de 3 600 secondes. Portée : 180 à 86 400 secondes. |
Kilo-octets à vie |
Sélectionnez la durée de vie (en kilooctets) d’une SA IPsec. La valeur par défaut est de 128 ko. Portée : 64 à 4294967294. |
Établir un tunnel |
Activez cette option pour établir le tunnel IPsec. L’IKE est immédiatement activé (valeur par défaut) une fois qu’un VPN est configuré et que les modifications de configuration sont validées. |
Configuration avancée | |
Moniteur VPN |
Activez cette option pour l’utiliser dans une adresse IP de destination.
Note:
Cette option n’est pas disponible pour le mode de routage des sélecteurs de trafic. |
Destination IP |
Saisissez la destination des pings ICMP (Internet Control Message Protocol). L'équipement utilise l'adresse de passerelle de l'homologue par défaut.
Note:
Cette option n’est pas disponible pour le mode de routage des sélecteurs de trafic. |
Optimisé |
Activez cette option pour l’objet VPN. S’il est activé, l’équipement SRX Series n’envoie des requêtes d’écho ICMP (pings) que lorsqu’il y a du trafic sortant et qu’il n’y a pas de trafic entrant de l’homologue configuré via le tunnel VPN. S’il y a du trafic entrant par le tunnel VPN, l’équipement SRX Series considère le tunnel comme actif et n’envoie pas de pings à l’homologue. Cette option est désactivée par défaut.
Note:
Cette option n’est pas disponible pour le mode de routage des sélecteurs de trafic. |
Source Interface |
Sélectionnez l’interface source pour les requêtes ICMP dans la liste. Si aucune interface source n’est spécifiée, l’équipement utilise automatiquement l’interface de terminal de tunnel local.
Note:
Cette option n’est pas disponible pour le mode de routage des sélecteurs de trafic. |
Vérifier le chemin |
Activez cette option pour vérifier le chemin de données IPsec avant l’activation de l’interface du tunnel sécurisé (st0) et l’installation des routes associées à l’interface dans la table de transfert Junos OS. Cette option est désactivée par défaut.
Note:
Cette option n’est pas disponible pour le mode de routage des sélecteurs de trafic. |
Destination IP |
Saisissez l’adresse IP de destination. Adresse IP originale et non traduite du point de terminaison du tunnel homologue qui se trouve derrière un équipement NAT. Cette adresse IP ne doit pas être l’adresse IP traduite par NAT. Cette option est requise si le point de terminaison du tunnel homologue se trouve derrière un équipement NAT. La demande ICMP de chemin de vérification est envoyée à cette adresse IP afin que l’homologue puisse générer une réponse ICMP.
Note:
Cette option n’est pas disponible pour le mode de routage des sélecteurs de trafic. |
Taille du paquet |
Saisissez la taille du paquet utilisé pour vérifier un chemin de données IPsec avant que l’interface st0 ne soit mise en place. Plage : 64 à 1 350 octets. La valeur par défaut est de 64 octets.
Note:
Cette option n’est pas disponible pour le mode de routage des sélecteurs de trafic. |
Anti Replay |
IPsec protège contre les attaques VPN en utilisant une séquence de nombres intégrée au paquet IPsec: le système n’accepte pas un paquet avec le même numéro de séquence. Cette option est activée par défaut. L’anti-replay vérifie les numéros de séquence et applique la vérification, plutôt que d’ignorer simplement les nombres de séquence. Désactivez l’anti-replay en cas d’erreur avec le mécanisme IPsec qui entraîne des paquets en panne, ce qui empêche les fonctionnalités appropriées. |
Intervalle d’installation |
Sélectionnez le nombre maximal de secondes pour permettre l’installation d’une association de sécurité sortante (SA) rekeyed sur l’équipement. Sélectionnez une valeur de 1 à 10. |
Temps d’inactivité |
Sélectionnez l’intervalle de temps d’inactivité. Les sessions et leurs traductions correspondantes s’arrêtent après un certain laps de temps si aucun trafic n’est reçu. La portée est de 60 à 999999 secondes. |
DF Bit |
Sélectionnez la façon dont l'équipement gère le bit Don't Fragment (DF) dans l'en-tête externe :
|
Copier le DSCP externe |
Cette option est activée par défaut. Cela permet de copier le point de code de services différencié (DSCP+ ECN) à partir du paquet chiffré d’en-tête IP externe vers le message en texte brut de l’en-tête IP interne sur le chemin de déchiffrement. En activant cette fonctionnalité, après le déchiffrement IPsec, les paquets en texte clair peuvent suivre les règles coS internes (DSCP+ECN). |