Avis important : |
Cet article fournit un guide étape par étape sur la configuration d'un tunnel VPN IPSec de site à site à l'aide de l'assistant de configuration VPN sur les appareils ZyWALL/USG. Il explique comment configurer le tunnel VPN entre deux sites, y compris un site situé derrière un routeur NAT, afin de garantir un accès sécurisé. Le processus implique l'utilisation de l'assistant Paramètres VPN pour créer une règle VPN avec des paramètres de phase par défaut, la configuration d'IP de passerelle sécurisée et la définition de politiques locales et distantes. Il couvre également les étapes de vérification pour tester la fonctionnalité du tunnel et aborder les problèmes potentiels qui peuvent survenir, tels que des paramètres ou des configurations de politique de sécurité inadaptés.
Configurer le tunnel VPN IPSec ZyWALL/USG du réseau d'entreprise (HQ)
1. Dans le ZyWALL/USG, utilisez l'assistant Paramètres VPN pour créer une règle VPN pouvant être utilisée avec le FortiGate. Cliquez sur Suivant.
Installation rapide > Assistant d'installation VPN > Bienvenue
2. Choisissez Express pour créer une règle VPN avec les paramètres de phase 1 et de phase 2 par défaut et utilisez une clé pré-partagée comme méthode d'authentification. Cliquez sur Suivant.
Installation rapide > Assistant d'installation VPN > Type d'assistant
3. Saisissez le nom de la règle utilisé pour identifier cette connexion VPN (et la passerelle VPN). Vous pouvez utiliser de 1 à 31 caractères alphanumériques. Cette valeur est sensible à la casse. Sélectionnez la règle Site-to-site. Cliquez sur Suivant.
Installation rapide > Assistant d'installation VPN > Type d'assistant > Paramètres VPN (scénario)
4. Configurez l'IP de la passerelle sécurisée en tant qu'adresse IP WAN de la succursale (dans l'exemple, 172.100.30.40). Saisissez ensuite une clé prépartagée sécurisée (8 à 32 caractères).
Définissez la politique locale comme étant la plage d'adresses IP du réseau connecté au ZyWALL/USG (HQ) et la politique distante comme étant la plage d'adresses IP du réseau connecté au ZyWALL/USG (succursale).
Installation rapide > Assistant d'installation VPN > Type d'assistant > Paramètres VPN (Configuration)
5. Cet écran fournit un résumé en lecture seule du tunnel VPN. Cliquez sur Enregistrer.
Installation rapide > Assistant de configuration VPN > Bienvenue > Type d'assistant > Paramètres VPN (Résumé)
6. La règle est maintenant configurée sur le ZyWALL/USG. Les paramètres des règles de la phase apparaissent ici
Phase 1 : VPN > IPSec VPN > VPN Gateway Phase 2 : VPN > IPSec VPN > VPN Connection Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed
7. Configurez Peer ID Type comme Any pour permettre au ZyWALL/USG de ne pas avoir à vérifier le contenu de l'identité du routeur IPSec distant.
CONFIGURATION > VPN > VPN IPSec > Passerelle VPN > Afficher les paramètres avancés > Authentification > Type d'identification de l'homologue
Configurer le tunnel VPN IPSec ZyWALL/USG du réseau d'entreprise (succursale)
1. Dans le ZyWALL/USG, utilisez l'assistant Paramètres VPN pour créer une règle VPN qui peut être utilisée avec le FortiGate. Cliquez sur Suivant.
Installation rapide > Assistant de configuration VPN > Bienvenue
2. Choisissez Express pour créer une règle VPN avec les paramètres de phase 1 et de phase 2 par défaut et utilisez une clé pré-partagée comme méthode d'authentification. Cliquez sur Suivant.
Installation rapide > Assistant d'installation VPN > Type d'assistant
3. Saisissez le nom de la règle utilisé pour identifier cette connexion VPN (et la passerelle VPN). Vous pouvez utiliser de 1 à 31 caractères alphanumériques. Cette valeur est sensible à la casse. Sélectionnez la règle Site-to-site. Cliquez sur Suivant.
Installation rapide > Assistant d'installation VPN > Type d'assistant > Paramètres VPN (scénario)
4. Configurez l'IP de la passerelle sécurisée en tant qu'adresse IP WAN de la succursale (dans l'exemple, 172.100.20.30). Saisissez ensuite une clé prépartagée sécurisée (8 à 32 caractères).
Définissez la politique locale comme étant la plage d'adresses IP du réseau connecté au ZyWALL/USG (HQ) et la politique distante comme étant la plage d'adresses IP du réseau connecté au ZyWALL/USG (succursale).
Installation rapide > Assistant d'installation VPN > Type d'assistant > Paramètres VPN (Configuration)
5. Cet écran fournit un résumé en lecture seule du tunnel VPN. Cliquez sur Enregistrer.
Installation rapide > Assistant d'installation VPN > Bienvenue > Type d'assistant > Paramètres VPN (Résumé)
6. La règle est maintenant configurée sur le ZyWALL/USG. Les paramètres des règles de la phase apparaissent ici
Phase 1 : VPN > VPN IPSec > Passerelle VPN Phase 2 : VPN > VPN IPSec > Connexion VPN Configuration rapide > Assistant de configuration VPN > Bienvenue > Type d'assistant > Paramètres VPN > Assistant terminé
7. Configurez Peer ID Type comme Any pour permettre au ZyWALL/USG de ne pas avoir à vérifier le contenu de l'identité du routeur IPSec distant.
CONFIGURATION > VPN > VPN IPSec > Passerelle VPN > Afficher les paramètres avancés > Authentification > Type d'ID de l'homologue
Configurer le routeur NAT (en utilisant le dispositif ZyWALL USG dans cet exemple)
Remarque : ces paramètres ne doivent être appliqués que si l'un de vos pare-feux se trouve derrière un NAT. Ces paramètres doivent être configurés sur le routeur NAT placé avant votre pare-feu, qui peut être le routeur de votre fournisseur d'accès à Internet ou le routeur principal de votre réseau de bureau. Vous trouverez ci-dessous un exemple utilisant l'un de nos appareils, à titre de référence uniquement.
1. Sélectionnez l'interface entrante sur laquelle les paquets de la règle NAT doivent être reçus. Spécifiez le champ User-Defined Original IP et tapez l'adresse IP de destination traduite que cette règle NAT prend en charge.
CONFIGURATION > Réseau > NAT > Ajouter
2. La redirection IP doit être activée au niveau du pare-feu pour les protocoles IP et les ports UDP suivants :
Protocole IP = 50 → Utilisé par le chemin de données (ESP)
Protocole IP = 51 → utilisé par le chemin de données (AH)
Numéro de port UDP = 500 → utilisé par IKE (chemin de contrôle IPSec)
Numéro de port UDP = 4500 → Utilisé par NAT-T (traversée NAT IPsec)
CONFIGURATION > Politique de sécurité > Contrôle des politiques
VERIFICATION :
Tester le tunnel VPN IPSec
1. Allez dans CONFIGURATION > VPN > VPN IPSec > Connexion VPN
cliquez sur Connect dans la barre supérieure. L'icône Status connect est allumée lorsque l'interface est connectée.
2. Vérifiez le temps de fonctionnement du tunnel et le trafic entrant (octets)/sortant (octets).
MONITEUR > Moniteur VPN > IPSec
3. Pour tester si un tunnel fonctionne ou non, faites un ping depuis un ordinateur sur un site vers un ordinateur sur l'autre site. Assurez-vous que les deux ordinateurs ont accès à Internet (via les dispositifs IPSec).
PC derrière le ZyWALL/USG (HQ) > Window 7 > cmd > ping 192.168.20.33
PC derrière le ZyWALL/USG (Branch) > Window 7 > cmd > ping 10.10.10.33
Qu'est-ce qui pourrait mal se passer ?
1. Si vous voyez le message ci-dessous [info] ou [error], veuillez vérifier les paramètres de la phase 1 du ZyWALL/USG. Les deux ZyWALL/USG au siège et dans les succursales doivent utiliser la même clé pré-partagée, le même cryptage, la même méthode d'authentification, le même groupe de clés DH et le même type d'ID pour établir la SA IKE.
MONITEUR > Journal
2. Si vous voyez que la phase 1 du processus IKE SA est terminée mais que vous obtenez toujours le message de journal [info] ci-dessous, veuillez vérifier les paramètres de la phase 2 du ZyWALL/USG. Les deux ZyWALL/USG au siège et dans les succursales doivent utiliser le même protocole, la même encapsulation, le même cryptage, la même méthode d'authentification et le même PFS pour établir la SA IKE.
MONITEUR > Journal
3. Assurez-vous que les politiques de sécurité du ZyWALL/USG du site du siège et de la succursale autorisent le trafic VPN IPSec. IKE utilise le port UDP 500, AH utilise le protocole IP 51 et ESP utilise le protocole IP 50.
4. Par défaut, la traversée NAT est activée sur le ZyWALL/USG, assurez-vous que l'appareil IPSec distant doit également avoir la traversée NAT activée.