Créer un VPN de site à site

Nom

Entrez un nom pour le VPN.

Description

Saisissez une description. Cette description sera utilisée pour les propositions et stratégies IKE et IPsec. Lors de la modification, la description de la stratégie IPsec s’affiche et est mise à jour.

Mode de routage

Sélectionnez le mode de routage auquel ce VPN sera associé :

• Sélecteur de trafic (insertion automatique d’itinéraire)

• Routage statique

• Routage dynamique – OSPF

• Routage dynamique – BGP

Pour chaque topologie, J-Web génère automatiquement les CLI correspondantes. Le sélecteur de trafic est le mode par défaut.

Méthode d’authentification

Sélectionnez une méthode d’authentification dans la liste que l’appareil utilise pour authentifier la source des messages IKE (Internet Key Exchange) :

• Basé sur un certificat : types de signatures numériques, c’est-à-dire les certificats qui confirment l’identité du titulaire du certificat.

  Voici les méthodes d’authentification pour un certificat basé sur :

  • rsa-signatures : spécifie qu’un algorithme de clé publique, qui prend en charge le chiffrement et les signatures numériques, est utilisé.

  • dsa-signatures : spécifie que l’algorithme de signature numérique (DSA) est utilisé.

  • ecdsa-signatures-256 : spécifie que la courbe elliptique DSA (ECDSA) utilisant la courbe elliptique 256 bits secp256r1, comme spécifié dans la norme de signature numérique (DSS) 186-3 de la norme FIPS (Federal Information Processing Standard) est utilisée.

  • ecdsa-signatures-384 : spécifie que l’ECDSA utilisant la courbe elliptique 384 bits secp384r1, comme spécifié dans la norme FIPS DSS 186-3, est utilisé.

  • ecdsa-signatures-521 : spécifie que l’ECDSA utilisant la courbe elliptique de 521 bits secp521r1 est utilisée.

    Note:

    ecdsa-signatures-521 prend uniquement en charge la gamme SRX5000 de périphériques avec carte SPC3 et package junos-ike installés.

• Clé pré-partagée (méthode par défaut) : spécifie qu’une clé pré-partagée, c’est-à-dire une clé secrète partagée entre les deux homologues, est utilisée lors de l’authentification pour identifier les homologues l’un par rapport à l’autre. La même clé doit être configurée pour chaque homologue. Il s’agit de la méthode par défaut.

Création automatique d’une stratégie de pare-feu

Si vous sélectionnez Oui, une stratégie de pare-feu est automatiquement placée entre la zone interne et la zone d’interface de tunnel avec les réseaux protégés locaux comme adresse source et les réseaux protégés distants comme adresse de destination.

Une autre politique de pare-feu sera créée inversement.

Si vous choisissez Non, cela signifie que vous n’avez pas d’option de stratégie de pare-feu. Vous devez créer manuellement la stratégie de pare-feu requise pour que ce VPN fonctionne.

Passerelle distante

Affiche l’icône de la passerelle distante dans la topologie. Cliquez sur l’icône pour configurer la passerelle distante.

La passerelle identifie l’homologue distant avec les homologues VPN IPsec et définit les paramètres appropriés pour ce VPN IPsec.

Pour plus d’informations sur les champs, voir le tableau 2.

Passerelle locale

Affiche l’icône de la passerelle locale dans la topologie. Cliquez sur l’icône pour configurer la passerelle locale.

Pour plus d’informations sur les champs, voir le tableau 4.

Paramètres IKE et IPsec

Configurez la proposition IKE ou IPsec personnalisée et la proposition IPsec personnalisée avec les algorithmes ou valeurs recommandés.

Pour plus d’informations sur les champs, voir le tableau 6.

La passerelle se trouve derrière le NAT

Si cette option est activée, l’adresse IP externe configurée (IPv4 ou IPv6) est appelée adresse IP du périphérique NAT.

Identité IKE

Sélectionnez une option dans la liste pour configurer l’identité distante.

Nom d’hôte

Entrez un nom d’hôte distant.

Adresse IPv4

Entrez une adresse IPv4 distante.

Adresse IPv6

Entrez une adresse IPv6 distante.

ID de clé

Entrez un ID de clé.

Adresse e-mail

Saisissez une adresse e-mail.

Adresse IP externe

Saisissez l’adresse IPv4 ou IPv6 de l’homologue. Vous pouvez créer un réseau homologue principal avec jusqu’à quatre sauvegardes.

Vous devez entrer une adresse IPv4 ou IPv6 ou vous pouvez entrer jusqu’à cinq adresses IP séparées par des virgules.

Réseaux protégés

Lorsque vous sélectionnez un mode de routage, répertorie toutes les adresses globales.

Sélectionnez les adresses dans la colonne Disponible, puis cliquez sur la flèche vers la droite pour la déplacer vers la colonne Sélectionné.

Lorsque le mode de routage est :

• Traffic Selector (Sélecteur de trafic) : les adresses IP sont utilisées comme adresses IP distantes dans la configuration du sélecteur de trafic.

• Routage statique :

  • L’itinéraire statique sera configuré pour la ou les adresses globales sélectionnées.

  • L’interface de tunnel (st0.x) de la passerelle locale sera utilisée comme prochain saut.

• Dynamic Routing (Routage dynamique) : la valeur par défaut est any. Vous pouvez également sélectionner une ou plusieurs adresses globales spécifiques. La valeur sélectionnée est configurée en tant qu’adresse de destination dans la stratégie de pare-feu.

Ajouter

Cliquez sur +.

La page Créer une adresse globale s’affiche. Voir le tableau 3 pour plus d’informations sur les champs.

Nom

Saisissez une chaîne unique qui doit commencer par un caractère alphanumérique et qui peut inclure des signes deux-points, des points, des tirets et des traits de soulignement. aucun espace n’est autorisé ; 63 caractères maximum.

Type d’IP

Sélectionnez IPv4 ou IPv6.

IPv4 (en anglais)

IPv4 Address (Adresse IPv4) : entrez une adresse IPv4 valide.

Subnet (Sous-réseau) : entrez le sous-réseau pour l’adresse IPv4.

IPv6 (en anglais)

IPv6 Address (Adresse IPv6) : entrez une adresse IPv6 valide.

Subnet Prefix (Préfixe de sous-réseau) : entrez un masque de sous-réseau pour la plage de réseaux. Une fois saisie, la valeur est validée.

La passerelle se trouve derrière le NAT

Activez cette option lorsque la passerelle locale se trouve derrière un périphérique NAT.

Identité IKE

Sélectionnez une option dans la liste pour configurer l’identité locale. Lorsque la passerelle est derrière le NAT est activée, vous pouvez configurer une adresse IPv4 ou IPv6 pour référencer le périphérique NAT.

Nom d’hôte

Entrez un nom d’hôte.

Adresse IPv4

Saisissez une adresse IPv4.

Adresse IPv6

Saisissez une adresse IPv6.

ID de clé

Entrez un ID de clé.

Adresse e-mail

Entrez une adresse e-mail.

Interface externe

Sélectionnez une interface sortante dans la liste des négociations IKE.

La liste contient toutes les adresses IP disponibles si plusieurs adresses IP sont configurées sur l’interface spécifiée. L’adresse IP sélectionnée sera configurée en tant qu’adresse locale sous la passerelle IKE.

Tunnel Interface

Sélectionnez une interface dans la liste pour la lier à l’interface de tunnel (VPN basé sur le routage).

Cliquez sur Ajouter pour ajouter une nouvelle interface. La page Create Tunnel Interface (Créer une interface de tunnel) s’affiche. Voir le tableau 5.

ID de routeur

Saisissez l’adresse IP du périphérique de routage.

ID de zone

Entrez un ID de zone compris entre 0 et 4 294 967 295, où les interfaces de tunnel de ce VPN doivent être configurées.

Tunnel Interface Passive

Activez cette option pour contourner le trafic des vérifications IP actives habituelles.

ASN

Entrez le numéro AS du périphérique de routage.

Utilisez un numéro qui vous a été attribué par la carte réseau. Plage : de 1 à 4 294 967 295 (232 – 1) au format simple pour les nombres AS de 4 octets.

ID de voisin

Entrez l’adresse IP d’un routeur voisin.

Type de groupe BGP

Sélectionnez le type de groupe pair BGP dans la liste :

• external : groupe externe, qui permet le routage BGP inter-AS.

• internal : groupe interne, qui autorise le routage BGP intra-AS.

ASN homologue

Entrez le numéro du système autonome (AS) voisin (pair).

Stratégies d’importation

Sélectionnez une ou plusieurs stratégies de routage dans la liste pour les routes importées dans la table de routage à partir de BGP.

Cliquez sur Tout effacer pour effacer les stratégies sélectionnées.

Stratégies d’exportation

Sélectionnez une ou plusieurs stratégies dans la liste des routes en cours d’exportation de la table de routage vers BGP.

Cliquez sur Tout effacer pour effacer les stratégies sélectionnées.

Certificat local

Sélectionnez un identificateur de certificat local lorsque plusieurs certificats sont chargés sur l’appareil local.

Cliquez sur Ajouter pour générer un nouveau certificat. Cliquez sur Importer pour importer un certificat d’appareil. Pour plus d’informations, reportez-vous à la section Gérer les certificats d’appareil.

Autorité de certification/groupe de confiance

Sélectionnez le profil de l’autorité de certification dans la liste pour l’associer au certificat local.

Cliquez sur Ajouter pour ajouter un nouveau profil d’autorité de certification. Pour plus d’informations, consultez Gérer l’autorité de certification de confiance.

Clé pré-partagée

Entrez la valeur de la clé prépartagée. La clé peut être l’une des suivantes :

• ascii-text : clé de texte ASCII.

• hexadecimal : clé hexadécimale.

Réseaux protégés

Cliquez sur +. La page Create Protected Networks (Créer des réseaux protégés) s’affiche.

La zone

Sélectionnez dans la liste une zone de sécurité qui sera utilisée comme zone source dans la stratégie de pare-feu.

Adresse mondiale

Sélectionnez les adresses dans la colonne Disponible, puis cliquez sur la flèche vers la droite pour la déplacer vers la colonne Sélectionné.

Ajouter

Cliquez sur Ajouter.

La page Créer une adresse globale s’affiche. Voir le tableau 3.

Modifier

Sélectionnez le réseau protégé que vous souhaitez modifier et cliquez sur l’icône en forme de crayon.

La page Modifier l’adresse globale s’affiche avec des champs modifiables.

Supprimer

Sélectionnez le réseau protégé que vous souhaitez modifier et cliquez sur l’icône de suppression.

Le message de confirmation s’affiche.

Cliquez sur Oui pour supprimer.

Unité d’interface

Entrez le numéro de l’unité logique.

Description

Entrez une description pour l’interface logique.

La zone

Sélectionnez une zone pour l’interface logique dans la liste à utiliser comme zone source dans la stratégie de pare-feu.

Cliquez sur Ajouter pour ajouter une nouvelle zone. Entrez le nom et la description de la zone, puis cliquez sur OK sur la page Créer une zone de sécurité.

Instance de routage

Sélectionnez une instance de routage dans la liste.

Adresse IPv4

Saisissez une adresse IPv4 valide.

Préfixe de sous-réseau

Entrez un masque de sous-réseau pour l’adresse IPv4.

Adresse IPv6

Saisissez une adresse IPv6 valide.

Préfixe de sous-réseau

Entrez un masque de sous-réseau pour la plage de réseau. Une fois saisie, la valeur est validée.

IKE Version

Sélectionnez la version IKE requise, v1 ou v2, pour négocier des associations de sécurité dynamiques (SA) pour IPsec.

La valeur par défaut est v2.

IKE Mode

Sélectionnez le mode de stratégie IKE dans la liste :

• agressif : prend la moitié du nombre de messages du mode principal, a moins de pouvoir de négociation et ne protège pas l’identité.

• main : utilisez six messages, dans trois échanges peer-to-peer, pour établir l’IKE SA. Ces trois étapes comprennent la négociation IKE SA, un échange Diffie-Hellman et l’authentification de l’homologue. Fournit également une protection de l’identité.

Algorithme de chiffrement

Sélectionnez le mécanisme de chiffrement approprié dans la liste.

La valeur par défaut est aes-256-gcm.

Algorithme d’authentification

Sélectionnez l’algorithme d’authentification dans la liste. Par exemple, hmac-md5-96 : produit un condensé de 128 bits et hmac-sha1-96 : produit un condensé de 160 bits.

Groupe DH

Un échange Diffie-Hellman (DH) permet aux participants de générer une valeur secrète partagée. Sélectionnez le groupe DH approprié dans la liste. La valeur par défaut est group19.

Secondes à vie

Sélectionnez la durée de vie d’une association de sécurité IKE (SA). Valeur par défaut : 28 800 secondes. Autonomie : 180 à 86 400 secondes.

Détection des pairs morts

Activez cette option pour envoyer des requêtes de détection d’homologue mort, qu’il y ait ou non du trafic IPsec sortant vers l’homologue.

DPD Mode

Sélectionnez l’une des options dans la liste :

• optimized : envoie des sondes uniquement lorsqu’il y a du trafic sortant et aucun trafic de données entrant - RFC3706 (mode par défaut).

• probe-idle-tunnel : envoie les sondes de la même manière qu’en mode optimisé et également lorsqu’il n’y a pas de trafic de données entrant et sortant.

• always-send : envoie des sondes périodiquement, quel que soit le trafic de données entrant et sortant.

Intervalle DPD

Sélectionnez un intervalle en secondes pour envoyer des messages de détection d’homologue mort. L’intervalle par défaut est de 10 secondes. La plage est de 2 à 60 secondes.

Seuil DPD

Sélectionnez un nombre compris entre 1 et 5 pour définir le seuil d’échec DPD.

Cela spécifie le nombre maximal de fois que les messages DPD doivent être envoyés lorsqu’il n’y a pas de réponse de l’homologue. Le nombre par défaut de transmissions est de 5 fois.

ID IKE général

Activez cette option pour accepter l’ID IKE de l’homologue.

Réauthentification IKEv2

Configurez la fréquence de réauthentification pour déclencher une nouvelle réauthentification IKEv2.

Refragmentation IKEv2

Cette option est activée par défaut.

Taille de refragmentation IKEv2

Sélectionnez la taille maximale, en octets, d’un message IKEv2 avant qu’il ne soit divisé en fragments.

Cette taille s’applique aux messages IPv4 et IPv6. Plage : 570 à 1320 octets.

Les valeurs par défaut sont les suivantes :

• Messages IPv4 : 576 octets.

• Messages IPv6 : 1 280 octets.

NAT-T

Activez cette option pour que le trafic IPsec passe par un périphérique NAT.

NAT-T est un algorithme IKE de phase 1 utilisé pour tenter d’établir une connexion VPN entre deux périphériques de passerelle, où un périphérique NAT se trouve devant l’un des pare-feu SRX Series.

NAT Rester en vie

Sélectionnez l’intervalle keepalive approprié en secondes. Portée : 1 à 300.

Si l’on s’attend à ce que le VPN ait de longues périodes d’inactivité, vous pouvez configurer des valeurs keepalive pour générer un trafic artificiel afin de maintenir la session active sur les périphériques NAT.

Protocole

Sélectionnez le protocole ESP (Encapsulation Security Protocol) ou le protocole AH (Encapsulation Header Protocol) dans la liste pour établir le VPN. La valeur par défaut est ESP.

Algorithme de chiffrement

Sélectionnez la méthode de chiffrement. La valeur par défaut est aes-256-gcm.

Algorithme d’authentification

Sélectionnez l’algorithme d’authentification IPsec dans la liste. Par exemple, hmac-md5-96 : produit un condensé de 128 bits et hmac-sha1-96 : produit un condensé de 160 bits.

Confidentialité persistante parfaite

Sélectionnez Perfect Forward Secrecy (PFS) dans la liste. L’appareil utilise cette méthode pour générer la clé de chiffrement. La valeur par défaut est group19.

PFS génère chaque nouvelle clé de chiffrement indépendamment de la clé précédente. Les groupes numérotés plus haut offrent plus de sécurité, mais nécessitent plus de temps de traitement.

Secondes à vie

Sélectionnez la durée de vie (en secondes) d’une association de sécurité IPsec (SA). Lorsque la SA expire, elle est remplacée par une nouvelle SA et un nouvel index des paramètres de sécurité (SPI) ou résiliée. La valeur par défaut est de 3 600 secondes. Autonomie : 180 à 86 400 secondes.

Kilo-octets sur toute la durée de vie

Sélectionnez la durée de vie (en kilo-octets) d’une SA IPsec. La valeur par défaut est de 128 Ko. Portée : 64 à 4294967294.

Etablir un tunnel

Activez cette option pour établir le tunnel IPsec. IKE est activé immédiatement (valeur par défaut) après la configuration d’un VPN et la validation des modifications de configuration.

Moniteur VPN

Activez cette option pour l’utiliser dans une adresse IP de destination.

Destination IP

Entrez la destination des pings ICMP (Internet Control Message Protocol). L’appareil utilise l’adresse de passerelle de l’homologue par défaut.

Optimisé

Activez cette option pour l’objet VPN. Si cette option est activée, le pare-feu SRX Series envoie des demandes d’écho ICMP (pings) uniquement lorsqu’il y a du trafic sortant et aucun trafic entrant de l’homologue configuré via le tunnel VPN. Si du trafic entrant transite par le tunnel VPN, le pare-feu SRX Series considère que le tunnel est actif et n’envoie pas de ping à l’homologue.

Cette option est désactivée par défaut.

Source Interface

Sélectionnez l’interface source pour les requêtes ICMP dans la liste. Si aucune interface source n’est spécifiée, l’équipement utilise automatiquement l’interface de point de terminaison du tunnel local.

Vérifier-chemin

Activez cette option pour vérifier le chemin d’accès aux données IPsec avant d’activer l’interface de tunnel sécurisé (st0) et d’installer la ou les routes associées à l’interface dans le Junos OS table de transfert.

Cette option est désactivée par défaut.

Destination IP

Saisissez l’adresse IP de destination. Adresse IP d’origine, non traduite, du point de terminaison du tunnel homologue qui se trouve derrière un périphérique NAT. Cette adresse IP ne doit pas être l’adresse IP traduite par NAT. Cette option est requise si le point de terminaison du tunnel homologue se trouve derrière un périphérique NAT. La demande ICMP de vérification du chemin est envoyée à cette adresse IP afin que l’homologue puisse générer une réponse ICMP.

Taille du paquet

Entrez la taille du paquet utilisé pour vérifier un chemin de données IPsec avant l’activation de l’interface st0. Plage : 64 à 1350 octets. La valeur par défaut est de 64 octets.

Anti Replay

IPsec protège contre les attaques VPN en utilisant une séquence de numéros intégrée au paquet IPsec : le système n’accepte pas de paquet portant le même numéro de séquence.

Cette option est activée par défaut. L’Anti-Replay vérifie les numéros de séquence et applique la vérification, plutôt que de simplement ignorer les numéros de séquence.

Désactivez l’anti-relecture en cas d’erreur avec le mécanisme IPsec qui entraîne des paquets dans le désordre, ce qui empêche le bon fonctionnement.

Intervalle d’installation

Sélectionnez le nombre maximal de secondes pour autoriser l’installation d’une association de sécurité sortante (SA) recléée sur l’appareil. Sélectionnez une valeur comprise entre 1 et 10.

Temps d’inactivité

Sélectionnez l’intervalle de temps d’inactivité. Les sessions et leurs traductions correspondantes expirent après un certain temps si aucun trafic n’est reçu. La portée est de 60 à 999999 secondes.

Embout DF

Sélectionnez la façon dont l’appareil gère le bit Don’t Fragment (DF) dans l’en-tête externe :

• clear : efface (désactive) le bit DF de l’en-tête externe. Il s’agit de l’option par défaut.

• copy : copie le bit DF dans l’en-tête externe.

• set : définissez (activez) le bit DF dans l’en-tête externe.

Copier le DSCP externe

Cette option est activée par défaut. Cela permet de copier le point de code de services différenciés (DSCP) (DSCP+ECN externe) du paquet chiffré de l’en-tête IP externe vers le message texte brut de l’en-tête IP interne sur le chemin de déchiffrement. En activant cette fonctionnalité, après le déchiffrement IPsec, les paquets en texte clair peuvent suivre les règles CoS internes (DSCP+ECN).