Exemple : configurer un VPN IPsec entre un pare-feu virtuel vSRX et une passerelle réseau virtuelle dans Microsoft Azure
Cet exemple montre comment configurer un VPN IPsec entre une instance de pare-feu virtuel vSRX et une passerelle réseau virtuelle dans Microsoft Azure.
Avant de commencer
Assurez-vous que vous avez installé et lancé une instance de pare-feu virtuel vSRX dans le réseau virtuel Microsoft Azure.
Consultez le générateur de configuration VPN srX de site à site et comment dépanner un tunnel VPN en panne ou non actif pour plus d’informations.
Aperçu
Vous pouvez utiliser un VPN IPsec pour sécuriser le trafic entre deux VNET dans Microsoft Azure, avec un pare-feu virtuel vSRX protégeant un VNet et la passerelle de réseau virtuel Azure protégeant l’autre VNet.
Configuration VPN IPsec du pare-feu virtuel vSRX
Procédure
Procédure étape par étape
Pour configurer le VPN IPsec sur le pare-feu virtuel vSRX :
Connectez-vous au pare-feu virtuel vSRX en mode de modification de configuration (voir Configurer vSRX à l’aide de la CLI).
Définissez les adresses IP des interfaces de pare-feu virtuel vSRX.
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.10/24 set interfaces ge-0/0/1 unit 0 family inet address 10.10.10.10/24 set interfaces st0 unit 1 family inet address 10.0.250.10/24
Configurez la zone de sécurité de non confiance.
set security zones security-zone untrust screen untrust-screen set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces st0.1
Configurez la zone de sécurité de confiance.
set security zone trust host-inbound-traffic system-services https set security zone trust host-inbound-traffic system-services ssh set security zone trust host-inbound-traffic system-services ping set security security-zone trust interfaces ge-0/0/1.0
Configurez IKE.
set security ike proposal ike-phase1-proposalA authentication-method pre-shared-keys set security ike proposal ike-phase1-proposalA dh-group group2 set security ike proposal ike-phase1-proposalA authentication-algorithm sha-256 set security ike proposal ike-phase1-proposalA encryption-algorithm aes-256-cbc set security ike policy ike-phase1-policyA mode main set security ike policy ike-phase1-policyA proposals ike-phase1-proposalA set security ike policy ike-phase1-policyA pre-shared-key ascii-text <preshared-key> set security ike gateway gw-siteB ike-policy ike-phase1-policyA set security ike gateway gw-siteB address 52.175.210.65 set security ike gateway gw-siteB version v2-only set security ike gateway gw-siteB external-interface ge-0/0/0.0
Note:Dans cet exemple, n’oubliez pas de remplacer
52.175.210.65
par la bonne adresse IP publique.Configurez IPsec.
L’exemple suivant illustre une configuration IPsec du pare-feu virtuel vSRX à l’aide de l’algorithme de chiffrement CBC :
set security ipsec proposal ipsec-proposalA protocol esp set security ipsec proposal ipsec-proposalA authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-proposalA encryption-algorithm aes-256-cbc set security ipsec proposal ipsec-proposalA lifetime-seconds 7200 set security ipsec proposal ipsec-proposalA lifetime-kilobytes 102400000 set security ipsec policy ike-phase1-policyA proposals ipsec-proposalA set security ipsec vpn ike-vpn-siteB bind-interface st0.1 set security ipsec vpn ike-vpn-siteB ike gateway gw-siteB set security ipsec vpn ike-vpn-siteB ike ipsec-policy ike-phase1-policyA set security ipsec vpn ike-vpn-siteB establish-tunnels immediately
Si nécessaire, vous pouvez utiliser AES-GCM comme algorithme de chiffrement dans la configuration IPsec du pare-feu virtuel vSRX au lieu de CBC :
set security ipsec proposal ipsec-proposalA protocol esp set security ipsec proposal ipsec-proposalA encryption-algorithm aes-256-gcm set security ipsec proposal ipsec-proposalA lifetime-seconds 7200 set security ipsec proposal ipsec-proposalA lifetime-kilobytes 102400000 set security ipsec policy ike-phase1-policyA proposals ipsec-proposalA set security ipsec vpn ike-vpn-siteB bind-interface st0.1 set security ipsec vpn ike-vpn-siteB ike gateway gw-siteB set security ipsec vpn ike-vpn-siteB ike ipsec-policy ike-phase1-policyA set security ipsec vpn ike-vpn-siteB establish-tunnels immediately
Configurez le routage.
set routing-instances siteA-vr1 instance-type virtual-router set routing-instances siteA-vr1 interface ge-0/0/0.0 set routing-instances siteA-vr1 interface ge-0/0/1.0 set routing-instances siteA-vr1 interface st0.1 set routing-instances siteA-vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.0.1 set routing-instances siteA-vr1 routing-options static route 10.20.20.0/24 next-hop st0.1 commit
Configuration de la passerelle de réseau virtuel Microsoft Azure
Procédure
Procédure étape par étape
Pour configurer la passerelle de réseau virtuel Microsoft Azure, reportez-vous à la procédure Microsoft Azure suivante :
Configurer la stratégie IPsec/IKE pour les connexions VPN S2S ou VNet à VNet
Assurez-vous que les paramètres IKE IPSec dans la passerelle de réseau virtuel Microsoft Azure correspondent aux paramètres du pare-feu virtuel vSRX IPSec IKE lorsque la connexion VPN de site à site est formée.
Vérifiez les tunnels VPN actifs.
Vérifiez que le tunnel est opérationnel entre l’instance de pare-feu virtuel vSRX et la passerelle réseau virtuelle Azure.
root@> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address 8290401 UP b1adf15fc3dfe0b0 89cc2a12cb7e3cd7 IKEv2 52.175.210.65
root@> show security ipsec security-associations
Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:aes-gcm-256/None c0e154e2 5567/ 102399997 - root 4500 52.175.210.65 >131073 ESP:aes-gcm-256/None 383bd606 5567/ 102399997 - root 4500 52.175.210.65