Pare-feu Zyxel VPN - Configuration d'un VPN IPSec Site-à-Site sur pare-feu Zyxel en mode autonome

Ce guide vous expliquera comment configurer un VPN Site-à-Site (S2S) entre deux pare-feux en utilisant IKEv2 IPSec. Nous couvrirons à la fois la configuration manuelle et l'utilisation d'un assistant intégré, ainsi que la manière de configurer le VPN pour gérer plusieurs sous-réseaux dans le même tunnel.

Si vous recherchez d'autres scénarios VPN, astuces et conseils, consultez les articles suivants :

Général :

• Guide VPN - Choisir le bon type de VPN pour votre bureau à domicile (+Liens utiles & tutoriels)
• Provisionnement de la configuration VPN sur un pare-feu USG
• Pare-feu Zyxel [VPN] - Dépannage VPN Site-à-Site [mode autonome]

Nebula :

• Création d’un VPN Site-à-Site dans Nebula entre deux passerelles Nebula (NSG)

Un bureau souhaite se connecter de manière sécurisée à son siège via Internet. Les deux bureaux disposent d’un USG / ZyWall / ATP / USG FLEX pour accéder à Internet.

Remarque : Avant de commencer la configuration du VPN, assurez-vous que les deux sites n’ont pas les mêmes sous-réseaux. Configurer un VPN entre des sites avec le même sous-réseau des deux côtés est techniquement possible, mais ce n’est pas simple et peut entraîner des complications dues à des adresses IP qui se chevauchent. Lorsque les deux sites ont le même sous-réseau, cela peut provoquer des conflits de routage car le VPN ne saura pas vers quel côté envoyer le trafic lorsqu’il rencontre une adresse IP présente dans les deux emplacements.

Configuration du VPN via l’assistant

La méthode la plus simple et la plus pratique pour établir une connexion Site-à-Site est d’utiliser l’assistant intégré. Dans le premier exemple de cet article, nous vous guiderons à travers le processus. De plus, si vous avez rencontré des problèmes lors de la configuration manuelle d’un VPN, vous pouvez utiliser l’assistant pour configurer le VPN et comparer les réglages à des fins de dépannage.

Paramètres du site HQ (Assistant)

• Connectez-vous à l’interface Web de votre pare-feu du site HQ et accédez à la section Assistant de configuration rapide dans le menu de gauche.
• Cliquez sur « Configuration VPN »

Vous pouvez choisir entre Express (VPN avec valeurs par défaut) ou Avancé (configuration manuelle de la cryptographie, etc.). Pour l’exemple de cet article, nous avons choisi l’option « Avancé ».

• Nous recommandons vivement d’utiliser IKEv2 au lieu de IKEv1 pour améliorer la sécurité, accélérer l’établissement de la connexion, assurer la stabilité, supporter la mobilité et augmenter l’efficacité dans la gestion des changements réseau.
• Donnez un nom compréhensible et choisissez VPN Site-à-Site.
• Cliquez sur « Suivant »

Paramètres Phase 1

• Dans l’étape suivante, saisissez « Passerelle sécurisée ». Il s’agit de l’adresse WAN de votre second pare-feu ; dans ce cas, c’est l’adresse IP du site secondaire (Branch). (Lorsque vous commencerez à configurer le second pare-feu, vous devrez remplir l’adresse IP WAN de ce pare-feu.)
• Configurez les propositions de la phase 1 selon vos souhaits. Pour des raisons de sécurité, choisissez un mot de passe fort et des propositions avec un bon chiffrement/authentification, comme AES256 pour le chiffrement, SHA512 pour l’authentification et DH14 pour le groupe de clés.

Paramètres Phase 2

• Assurez-vous que les paramètres de la phase 2 sont identiques à ceux de la phase 1 (c’est-à-dire AES256, SHA512).
• Politique locale et politique distante - Les politiques locale et distante définissent quel trafic est chiffré dans un VPN site-à-site, garantissant une communication sécurisée, efficace et correctement routée entre les réseaux.
  
  Remarque : Veuillez d’abord vérifier que l’adresse IP du sous-réseau distant n’existe pas déjà sur le sous-réseau local afin d’éviter une double configuration d’adresse IP. Lorsque le sous-réseau distant est identique à un sous-réseau local, vous ne pourrez atteindre que le réseau local.

• Une fois toutes les données saisies correctement, cliquez sur « Suivant », vérifiez à nouveau tous les paramètres, cliquez sur « Enregistrer » et procédez à la configuration du second pare-feu.

Paramètres du site secondaire (Assistant)

Vous devez suivre exactement la même procédure pour le pare-feu du second bureau. La principale différence réside uniquement dans certains paramètres.

• L’IP de la passerelle doit être spécifiée comme l’adresse WAN de l’appareil du site HQ.
• La politique locale et la politique distante seront également différentes. Exemple ci-dessous :
  Site HQ
  Politique locale : 192.168.40.1
  Politique distante : 192.168.70.1
  Site secondaire :
  Politique locale : 192.168.70.1
  Politique distante : 192.168.40.1

• Si tout a été configuré correctement et qu’il n’y a aucun problème avec la connexion, les autres paramètres ou la construction, une connexion VPN sera établie automatiquement immédiatement après l’enregistrement des paramètres.

Configuration manuelle du VPN

Passerelle VPN - Paramètres manuels du site HQ

• Connectez-vous à l’interface Web de votre pare-feu du site HQ

Allez dans Configuration -> VPN -> VPN Ge -> Ajouter

• Cochez la case Activer
• Donnez un nom clair
• Sélectionnez la version IKE

Nous recommandons vivement d’utiliser IKEv2 au lieu de IKEv1 pour améliorer la sécurité, accélérer l’établissement de la connexion, assurer la stabilité, supporter la mobilité et augmenter l’efficacité dans la gestion des changements réseau.

• Mon adresse (Interface) - définit votre adresse IP WAN.
• Adresse de la passerelle distante - Il s’agit de l’adresse WAN de votre second pare-feu ; dans ce cas, c’est l’adresse IP du site secondaire (Branch). (Lorsque vous commencerez à configurer le second pare-feu, vous devrez remplir l’adresse IP WAN de ce pare-feu.)
• Clé pré-partagée - Créez un mot de passe fort (vous utiliserez également cette clé sur le dispositif distant).
• Paramètres Phase 1 - Configurez les propositions de la phase 1 selon vos souhaits. Pour des raisons de sécurité, choisissez un mot de passe fort et des propositions avec un bon chiffrement/authentification, comme AES256 pour le chiffrement, SHA512 pour l’authentification et DH14 pour le groupe de clés. 

Tunnel VPN - Paramètres manuels du site HQ

Configuration > VPN > IPSec VPN > Connexion VPN > Ajouter

La première chose à faire est de créer un objet pour la « Politique distante » en cliquant sur « Créer un nouvel objet » et en sélectionnant « Adresse IPV4 ».

• Nom - saisissez un nom clair
• Type d’adresse - « SOUS-RÉSEAU »
• Réseau - l’adresse réseau locale du site distant
• Masque de sous-réseau - masque de sous-réseau du site distant
• Puis cliquez sur « OK »

Nous pouvons maintenant continuer à remplir les autres champs.

• Cochez la case Activer
• Donnez un nom clair
• Sélectionnez VPN Site-à-Site
• Passerelle VPN - Sélectionnez la passerelle VPN créée à l’étape précédente
• Politique locale et politique distante seront différentes.
• Paramètres Phase 2 - Configurez les propositions de la phase 2 selon vos souhaits. Pour des raisons de sécurité, choisissez un mot de passe fort et des propositions avec un bon chiffrement/authentification, comme AES256 pour le chiffrement, SHA512 pour l’authentification et DH14 pour le groupe de clés. 
• Cliquez sur « Ok »

Nous pouvons maintenant commencer à configurer le site secondaire. Pour ce faire, suivez les mêmes étapes que pour le site HQ, mais avec quelques modifications des données.

Passerelle VPN - Paramètres manuels du site secondaire

Configuration > VPN > IPSec VPN > Passerelle VPN

Répétez les étapes du site HQ pour configurer la passerelle VPN

• Lors de la configuration de la Passerelle VPN sur le pare-feu du site HQ, vous avez spécifié l’adresse WAN de votre site secondaire dans le champ « Adresse statique de la passerelle distante ». Maintenant, en configurant le site secondaire, vous devez spécifier l’adresse WAN de votre site HQ dans ce même champ.
• Clé pré-partagée - doit être la même pour les deux sites.

Tunnel VPN - Paramètres manuels du site secondaire

Configuration > VPN > IPSec VPN > Connexion VPN

Répétez les étapes du site HQ pour configurer le tunnel VPN

• Sauf quelques différences, lorsque vous avez configuré le site HQ, vous avez spécifié le réseau du site secondaire dans la politique distante. Maintenant, en configurant le site secondaire, vous devez spécifier le réseau du site HQ dans le champ Politique distante.

Cochez l’option «Nailed-Up» pour établir le tunnel VPN et se connecter automatiquement.

Tester le résultat

• Connectez manuellement le tunnel VPN la première fois. Par la suite, il devrait vérifier la connectivité et se reconnecter automatiquement.
• Vous pouvez voir que le tunnel VPN est connecté lorsque le symbole de la terre est vert.

Remarque : Veuillez vérifier vos règles de pare-feu pour vous assurer que les règles par défaut IPSec-vers-Appareil et IPSec-vers-Tout existent.
Sinon, le trafic entre les tunnels peut être bloqué.

Limitation - Utilisation de plusieurs sous-réseaux

Sur les pare-feux Zyxel, il existe une limitation : vous ne pouvez pas sélectionner plusieurs sous-réseaux dans un tunnel VPN. La politique locale (sous-réseau) et la politique distante (sous-réseau) ne peuvent être configurées qu’avec un seul sous-réseau chacune.

Configuration -> VPN -> IPSec VPN -> Connexion VPN -> Politique

Pour contourner ce problème, vous pouvez configurer une route de politique pour router manuellement d’autres sous-réseaux dans le tunnel.

Créez cette route de politique :

Remarque ! Il peut être nécessaire de router les paquets de réponse à travers le tunnel sur le site distant.

Dépannage

Problèmes courants et solutions :

• Clé pré-partagée incorrecte : Vérifiez la clé pré-partagée sur les deux appareils.
• Mauvaise configuration des sous-réseaux : Assurez-vous que les sous-réseaux locaux et distants sont correctement configurés dans les paramètres VPN.
• Paramètres Phase 1 et Phase 2 :

Paramètres clés à vérifier pour s’assurer qu’ils sont identiques sur les deux sites

• Méthode d’authentification : Généralement, une clé pré-partagée est utilisée.
• Algorithme de chiffrement : Options courantes incluent AES (128/256 bits), 3DES.
• Algorithme de hachage : Typiquement SHA-256, SHA-512 ou SHA-1.
• Groupe DH (Diffie-Hellman) : Assure un échange de clés sécurisé (ex. Groupe 2, Groupe 14).
• Durée de vie : 

Pour des instructions plus détaillées sur le dépannage, consultez le lien :

Pare-feu Zyxel [VPN] - Dépannage VPN Site-à-Site [mode autonome]