Zyxel Firewall [VPN] - Configurer le VPN IPSec de site à site sur le Zyxel Firewall [Mode autonome].

Création - Mise à jour
Serhii Boiarynov
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

Avis important :
Chers clients, sachez que nous utilisons la traduction automatique pour vous fournir des articles dans votre langue locale. Il se peut que certains textes ne soient pas traduits correctement. En cas de questions ou de divergences sur l'exactitude des informations contenues dans la version traduite, veuillez consulter l'article original ici: Version originale

Ce guide vous guidera dans la mise en place d'un VPN Site-to-Site (S2S) entre deux pare-feux en utilisant IKEv2 IPSec. Nous couvrirons à la fois la configuration manuelle et l'utilisation d'un assistant intégré, ainsi que la façon de configurer le VPN pour gérer plusieurs sous-réseaux dans le même tunnel.

Si vous cherchez d'autres scénarios VPN, des conseils et des astuces, jetez un coup d'œil aux articles suivants :

Général :

Nebula :

Un bureau souhaite se connecter en toute sécurité à son siège social via Internet. Les deux bureaux ont un USG / ZyWall / ATP / USG FLEX pour accéder à Internet.

Note : Avant de commencer à configurer le VPN, assurez-vous que les deux sites n'ont pas les mêmes sous-réseaux. Configurer un VPN entre des sites ayant le même sous-réseau des deux côtés est techniquement possible, mais ce n'est pas facile et cela peut entraîner des complications dues au chevauchement des adresses IP. Lorsque les deux sites ont le même sous-réseau, cela peut entraîner des conflits de routage car le VPN ne sait pas vers quel côté envoyer le trafic lorsqu'il voit une adresse IP qui existe sur les deux sites.

Méthode de l'assistant pour l'installation d'un VPN

La méthode la plus simple et la plus pratique pour établir une connexion de site à site consiste à utiliser l'assistant intégré. Dans le premier exemple de cet article, nous vous guiderons tout au long du processus. De plus, si vous avez rencontré des problèmes lors de la configuration manuelle d'un VPN, vous pouvez utiliser l'assistant pour configurer le VPN et comparer les paramètres à des fins de dépannage.

Paramètres du site HQ (Wizzard)

  • Connectez-vous à l'interface Web du pare-feu de votre site HQ et accédez à la section Quick Setup Wizard (Assistant de configuration rapide) dans le menu de gauche.
  • Cliquez sur "Configuration VPN"

Vous pouvez choisir entre les options Express (VPN avec les valeurs par défaut) et Advanced (Configuration manuelle de la cryptographie, etc...). Pour vous donner un exemple dans cet article, nous avons choisi l'option "Advanced".

  • Nous recommandons fortement d'utiliser IKEv2 au lieu d'IKEv1 pour améliorer la sécurité, la vitesse d'établissement de la connexion, la stabilité, la mobilité et l'efficacité dans la gestion des changements de réseau.
  • Donnez un nom compréhensible et choisissez VPN Site-to-Site.
  • Cliquez sur "Suivant"

Paramètres de la phase 1

  • Dans la fenêtre suivante, entrez "Secure Gateway". Il s'agit de l'adresse Wan de votre second pare-feu ; dans le cas présent, il s'agit de l'adresse IP du site de la succursale. (Lorsque vous commencerez à configurer le second pare-feu, vous devrez indiquer l'adresse IP WAN de ce pare-feu. )
  • Définissez les propositions de la phase 1 comme vous le souhaitez. Pour des raisons de sécurité, choisissez un mot de passe fort et des propositions avec un bon cryptage/authentification, comme AES256 pour le cryptage, SHA512 pour l'authentification et DH14 pour un groupe de clés.

Paramètres de la phase 2

  • Assurez-vous que les paramètres de la phase 2 sont les mêmes que ceux de la phase 1. (c.-à-d. AES256, SHA512)
  • Politique locale et politique distante - Les politiques locale et distante définissent le trafic qui est crypté dans un VPN site à site, garantissant une communication sécurisée, efficace et correctement acheminée entre les réseaux.

    Remarque : vérifiez d'abord si l'adresse IP du sous-réseau distant n'existe pas déjà sur le sous-réseau local afin d'éviter la configuration d'une double adresse IP. Si le sous-réseau distant est similaire à un sous-réseau local, vous ne pourrez atteindre que le réseau local.
  • Une fois que toutes les données ont été introduites correctement, cliquez sur "Suivant", vérifiez à nouveau tous les paramètres, cliquez sur"Enregistrer" et procédez à la configuration du deuxième pare-feu.

Paramètres du site de la succursale (Wizzard)

Vous devez suivre exactement la même procédure pour le pare-feu du deuxième bureau. La principale différence se situe au niveau de certains paramètres.

  • L'IP de la passerelle doit être spécifiée comme l'IP WAN de l'appareil dans le site HQ
  • Lapolitique locale et la politique à distance seront également différentes. Exemple ci-dessous :
    Site HQ
    Politique locale : 192.168.40.1
    Politique à distance : 192.168.70.1
    Site de la succursale :
    Politique locale : 192.168.70.1
    Politique à distance : 192.168.40.1
  • Si tout a été configuré correctement et qu'il n'y a pas de problème avec la connexion, les autres paramètres ou la construction, une connexion VPN sera établie automatiquement immédiatement après l'enregistrement des paramètres.

Méthode manuelle Configuration VPN

Passerelle VPN - Manuel des paramètres du site HQ

  • Connectez-vous à l'interface Web du pare-feu de votre site HQ
Go to Configuration -> VPN -> VPN Ge -> Add
  • Cochez la case Activer
  • Donner un nomclair
  • Sélectionner la version IKE

Nous recommandons vivement d'utiliser IKEv2 au lieu d'IKEv1 pour améliorer la sécurité, accélérer l'établissement de la connexion, la stabilité, la prise en charge de la mobilité et l'efficacité de la gestion des changements de réseau.

  • My Address (Interface) - définit votre adresse IP wan.
  • Peer Gateway Address (Adresse de la passerelle homologue ) - Il s'agit de l'adresse WAN de votre second pare-feu ; dans ce cas, il s'agit de l'adresse IP du site de la succursale. (Lorsque vous commencerez à configurer le deuxième pare-feu, vous devrez indiquer l'adresse IP WAN de ce pare-feu.
  • Pre-Shared Key - Créez un mot de passe fort (vous utiliserez également cette clé sur l'appareil distant).
  • Paramètres de la phase 1 - Définissez les propositions de la phase 1 comme vous le souhaitez. Pour des raisons de sécurité, choisissez un mot de passe fort et des propositions avec un bon cryptage/authentification, comme AES256 pour le cryptage, SHA512 pour l'authentification et DH14 pour un groupe de clés.

Tunnel VPN - Manuel de paramétrage du site HQ

Configuration > VPN > IPSec VPN > VPN Connection > Add

La première chose à faire est de créer un objet pour "Remote Policy" en cliquant sur "Create New Object" et en sélectionnant "IPV4 Address".

  • Nom - entrez un nom clair
  • Type d'adresse - "SUBNET"
  • Réseau - l'adresse du réseau local du site distant
  • Netmask - masque de sous-réseau du site distant
  • Cliquez ensuite sur "OK"

Nous pouvons maintenant continuer à remplir les autres champs.

  • Cochez la case Activer
  • Donnez un nomclair
  • Sélectionner Site-To-Site VPN
  • Passerelle VPN - Sélectionner la passerelle VPN créée à l'étape précédente
  • Lapolitique locale et la politique distante seront différentes.
  • Paramètres de la phase 2 - Définissez les propositions de la phase 2 comme vous le souhaitez. Pour des raisons de sécurité, choisissez un mot de passe fort et des propositions avec un bon cryptage/authentification, comme AES256 pour le cryptage, SHA512 pour l'authentification et DH14 pour un groupe de clés.
  • Cliquez sur "Ok"

Nous pouvons maintenant commencer à configurer le site de la succursale. Pour ce faire, suivez les mêmes étapes que pour le site HQ, mais avec quelques changements de données.

Passerelle VPN - Manuel de configuration du site de la succursale

Configuration > VPN > IPSec VPN > VPN Gateway

Répétez les étapes du site principal pour configurer la passerelle VPN

  • Lors de la configuration de la passerelle VPN sur le pare-feu du site HQ, vous avez spécifié l'IP WAN de votre site Branch dans le champ "Peer Gateway Address Static Address". Maintenant, lorsque vous configurez le site de la succursale, vous devez spécifier l'IP WAN de votre site HQ dans le champ "Peer Gateway Address Static Address" (adresse statiquede la passerelle homologue).
  • Clé pré-partagée - doit être la même pour les deux sites.

Tunnel VPN - Manuel de paramétrage du site secondaire

Configuration > VPN > IPSec VPN > VPN Connection

Répétez les étapes du site principal pour configurer le tunnel VPN.

  • À quelques différences près, lorsque vous avez configuré le site du siège, vous avez spécifié le réseau du site de la succursale dans la stratégie à distance. Maintenant, lorsque vous configurez le site de la succursale, vous devez spécifier le réseau du site du siège dans le champ Politique à distance.

Cochez l'option "Nailed-Up" pour établir le tunnel VPN et vous connecter automatiquement.

Tester le résultat

  • Connectez le tunnel VPN manuellement la première fois. Par la suite, la connectivité devrait être analysée à nouveau et la reconnexion devrait se faire automatiquement.
  • Vous pouvez voir que le tunnel VPN est connecté lorsque le symbole de la terre est vert.

Remarque: vérifiez les règles de votre pare-feu pour vous assurer que les règles par défaut IPSec-to-Device et IPSec-to-Any existent.
Dans le cas contraire, le trafic entre les tunnels peut être bloqué.
Screenshot_2021-05-26_173435.png

Limitation - Utiliser plusieurs sous-réseaux

Sur les pare-feux Zyxel, il y a une limitation où vous ne pouvez pas sélectionner plusieurs sous-réseaux dans un tunnel VPN. La politique locale (sous-réseau) et la politique distante (sous-réseau) ne peuvent être configurées qu'avec un seul sous-réseau chacune. 

Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy

Pour contourner ce problème, vous pouvez configurer une route de politique pour acheminer manuellement d'autres sous-réseaux dans le tunnel.

Créez cette route de politique :

Note ! Il peut être nécessaire d'acheminer les paquets de réponse à travers le tunnel sur le site distant.

Résolution des problèmes

Problèmes courants et solutions :

  • Clé pré-partagée incorrecte : Vérifiez deux fois la clé pré-partagée sur les deux appareils.
  • Configuration incorrecte du sous-réseau : Assurez-vous que les sous-réseaux locaux et distants sont correctement configurés dans les paramètres VPN.
  • Paramètres de la phase 1 et de la phase 2 :

Paramètres clés à vérifier pour s'assurer qu'ils sont identiques sur les deux sites.

  • Méthode d'authentification : Généralement, une clé pré-partagée est utilisée.
  • Algorithme de cryptage : Les options courantes sont AES (128/256 bits), 3DES.
  • Algorithme de hachage : Généralement SHA-256 ou SHA-512 ou SHA-1.
  • Groupe DH (groupe Diffie-Hellman) : Assure la sécurité de l'échange de clés (par exemple, groupe 2, groupe 14).
  • Durée de vie:

Pour des instructions plus détaillées sur le dépannage, voir le lien :

Zyxel Firewall [VPN] - Troubleshoot Site-to-Site VPN [Stand-alone mode] (Dépannage du VPN site à site [mode autonome]).

Articles dans cette section

Afficher plus
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 10 sur 19
Partager