Wiki Cloud Avenue
Tous les sujets

NGP IPSec

Le VPN IPSec prend en charge l’établissement d’un réseau privé virtuel entre une instance NSXEdge et des sites distants. Certains pré-requis sont nécessaires à sa mis en place :

  • Avoir un équipement compatible IPSec NSX (un client de test libre est disponible ici: https://strongswan.org/)
  • Avoir les ports udp-500 (port dedié service IPSec) / udp-4500 (si derrière une adresse NAT) et ICMP ouvert

Ces flux sont normalement mis en place dans les règles de FW sur activation du service IPSEC.

Plus de Détails ICI

Les flux mis en place dans les règles de FW sur activation du service IPSEC

VPN IPSec Basé sur une Stratégie (Policy Based)

Accéder au menu Mise en réseau / Passerelles Edge / VPN IPSec puis NOUVEAU.

  • Dans la partie Paramètres généraux :
    • Nommer votre VPN IPSec
    • Type :
      • Basé sur une Stratégie (Policy Based)
    • Activer l’IPSec et la Journalisation* si besoin puis faire SUIVANT
    • * pour la Journalisation, demander les logs en passant par votre Support
  • Dans la partie Mode d’authentification homologue :
    • Renseignez la clé partagée ou le certificat puis faire SUIVANT

Dans la Configuration des points, indiquez les IP Publiques et les Subnets à partager entre les 2 Sites :

  • Point de terminaison Local : IP Publique et Subnet Cloud Avenue
  • Point de terminaison Distant : IP entrante du Site Distant (EndPoint) avec le(s) Réseau(x) de(s) Site(s)
  • Faire SUIVANT
  • Vérifier le Récapitulatif à la dernière étape et faire TERMINER
  • Sur le menu principal, choisir PERSONNALISATION DU PROFIL DE SECURITE:

Définir les caractéristiques de Chiffrement et des Phases 1&2 puis faire ENREGISTRER

  • Profil IKE / Phase1: Cette phase désigne le stade où les 2 VPN vont créer un canal sécurisé et authentifié pour communiquer à travers un échange de clé utilisant le protocole IKEv1 ou IKEv2 (Internet Key Exchange)
  • Configuration du tunnel / Phase2: L’objectif de la phase 2 est que les 2 pairs s’accordent sur des paramètres qui définissent le type de trafic à passer par le VPN (Local & Remote Endpoint) et sur la manière de chiffrer et d’authentifier le trafic.

VPN IPSec Basé sur une Route (Route Based)

Dans la partie Paramètres généraux indiquer le Type « Basé sur une route » puis sélectionner le Mode d’authentification souhaité

Dans cette partie, on va définir l’IP Publique locale, l’IP Publique distante et l’IP locale de l’interface VTI

Valider la dernière étape récapitulative puis dans la partie « Passerelle Ege« / »Mise en réseau« / »Routage« / »Routes statiques« , ajouter le Réseau Distant à joindre en indiquant comme Prochain Saut l’IP du VTI puis « ENREGISTRER« 

Sur le menu principal, vérifier que le VPN est Actif et qu’il y a bien du Traffic Entrant/Sortant.