Exemples de configurations de périphérique de passerelle client pour le routage statique - AWS Site-to-Site VPN
Exemples de fichiers de configurationProcédures d'interface utilisateur pour le routage statiqueInformations supplémentaires pour les périphériques CiscoTest

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de configurations de périphérique de passerelle client pour le routage statique

Exemples de fichiers de configuration

Pour télécharger un exemple de fichier de configuration contenant des valeurs spécifiques à la configuration de votre connexion VPN de site à site, utilisez la console Amazon VPC, la ligne de commande AWS ou l'API Amazon EC2. Pour plus d’informations, consultez Étape 6 : Téléchargement du fichier de configuration.

Vous pouvez également télécharger des exemples de fichiers de configuration génériques pour le routage statique qui n'incluent pas de valeurs spécifiques à la configuration de votre connexion VPN de site à site : .zip static-routing-examples

Les fichiers utilisent des valeurs d'espace réservé pour certains composants. Par exemple, ils utilisent :

  • Des exemples de valeurs pour l'ID de connexion VPN, l'ID de passerelle client et l'ID de passerelle réseau privé virtuel

  • Espaces réservés aux AWS points de terminaison d'adresses IP distants (extérieurs) (AWS_ENDPOINT_1 et AWS_ENDPOINT_2)

  • Un espace réservé pour l'adresse IP de l'interface externe routable par Internet sur le dispositif de passerelle client () your-cgw-ip-address

  • Un espace réservé pour la valeur clé pré-partagée () pre-shared-key

  • Des exemples de valeurs pour le tunnel à l'intérieur des adresses IP.

  • Exemples de valeurs pour le paramètre MTU.

Note

Les paramètres MTU fournis dans les exemples de fichiers de configuration ne sont que des exemples. Veuillez vous référer à Bonnes pratiques pour votre périphérique de passerelle client pour obtenir des informations sur la définition de la valeur MTU optimale pour votre situation.

En plus de fournir des valeurs d'espace réservé, les fichiers spécifient les exigences minimales pour une connexion VPN de site à site de type AES128, SHA1 et Diffie-Hellman groupe 2 dans la AWS plupart des régions, et AES128, SHA2 et Diffie-Hellman groupe 14 dans les régions. AWS GovCloud Ils spécifient également des clés prépartagées pour l'authentification. Vous devez modifier l'exemple de fichier de configuration pour tirer parti des algorithmes de sécurité supplémentaires, des groupes Diffie-Hellman, des certificats privés et du trafic IPv6.

Le diagramme suivant fournit une vue d'ensemble des différents composants configurés sur le périphérique de passerelle client. Il inclut des exemples de valeurs pour les adresses IP de l'interface tunnel.

Périphérique de passerelle client avec routage statique

Procédures d'interface utilisateur pour le routage statique

Voici quelques exemples de procédures pour configurer un périphérique de passerelle client à l'aide de son interface utilisateur (si disponible).

Check Point

Voici les étapes à suivre pour configurer votre dispositif de passerelle client s'il s'agit d'un appareil Check Point Security Gateway exécutant la version R77.10 ou une version ultérieure, à l'aide du système d'exploitation Gaia et de Check Point. SmartDashboard Vous pouvez également consulter l'article Check Point Security Gateway IPsec VPN to Amazon Web Services VPC sur le Centre de support Check Point.

Pour configurer l'interface du tunnel

La première étape consiste à créer les tunnels VPN et à fournir les adresses IP privées (internes) de la passerelle client et de la passerelle réseau privé virtuel pour chaque tunnel. Pour créer le premier tunnel, utilisez les informations fournies dans la section IPSec Tunnel #1 du fichier de configuration. Pour créer le second tunnel, utilisez les valeurs fournies dans la section IPSec Tunnel #2 du fichier de configuration.

  1. Ouvrez le portail Gaia de votre périphérique Check Point Security Gateway.

  2. Sélectionnez successivement Network Interfaces, Add, VPN tunnel.

  3. Dans la boîte de dialogue, configurez les paramètres comme suit et choisissez OK lorsque vous avez terminé :

    • Pour VPN Tunnel ID, entrez une valeur unique, telle que 1.

    • Pour Peer, entrez un nom unique pour votre tunnel, tel que AWS_VPC_Tunnel_1 ou AWS_VPC_Tunnel_2.

    • Vérifiez que Numbered (Numéroté) est sélectionné et, pour Local Address (Adresse locale), entrez l'adresse IP spécifiée pour CGW Tunnel IP dans le fichier de configuration (169.254.44.234, par exemple).

    • Pour Remote Address, entrez l'adresse IP spécifiée pour VGW Tunnel IP dans le fichier de configuration (169.254.44.233, par exemple).

    Boîte de dialogue Check Point Add VPN Tunnel

  4. Connectez-vous à votre passerelle de sécurité via SSH. Si vous utilisez le shell autre que celui par défaut, choisissez clish en exécutant la commande suivante : clish

  5. Pour tunnel 1, exécutez la commande suivante :

    set interface vpnt1 mtu 1436

    Pour tunnel 2, exécutez la commande suivante :

    set interface vpnt2 mtu 1436

  6. Répétez ces étapes pour créer un second tunnel, à l'aide des informations de la section IPSec Tunnel #2 du fichier de configuration.

Pour configurer les itinéraires statiques

Dans cette étape, spécifiez la route statique vers le sous-réseau dans le VPC de chaque tunnel pour vous permettre d'acheminer le trafic via les interfaces de tunnel. Le second tunnel permet un basculement en cas de problème avec le premier tunnel. Si un problème est détecté, la stratégie basée sur la route statique est supprimée de la table de routage et la deuxième route est activée. Vous devez également activer la passerelle Check Point pour effectuer un test ping sur l'autre extrémité du tunnel et vérifier que le tunnel est opérationnel.

  1. Dans le portail Gaia, sélectionnez IPv4 Static Routes, Add.

  2. Spécifiez le CIDR de votre sous-réseau : par exemple, 10.28.13.0/24.

  3. Choisissez Add Gateway, IP Address.

  4. Entrez l'adresse IP spécifiée pour VGW Tunnel IP dans le fichier de configuration (par exemple, 169.254.44.233) et spécifiez une priorité égale à 1.

  5. Sélectionnez Ping.

  6. Répétez les étapes 3 et 4 pour le second tunnel, à l'aide de la valeur VGW Tunnel IP de la section IPSec Tunnel #2 du fichier de configuration. Spécifiez une priorité égale à 2.

    Boîte de dialogue Check Point Edit Destination Route

  7. Choisissez Enregistrer.

Si vous utilisez un cluster, répétez les étapes précédentes pour les autres membres du cluster.

Pour définir un nouvel objet réseau

Dans cette étape, vous créez un objet réseau pour chaque tunnel VPN, en spécifiant les adresses IP publiques (externes) de la passerelle réseau privé virtuel. Par la suite, vous ajoutez ces objets réseau en tant que passerelles satellite pour votre communauté VPN. Vous devez également créer un groupe vide comme espace réservé du domaine VPN.

  1. Ouvrez le point de contrôle SmartDashboard.

  2. Pour Groups, ouvrez le menu contextuel et choisissez Groups, Simple Group. Vous pouvez utiliser le même groupe pour chaque objet réseau.

  3. Pour Network Objects, ouvrez le menu contextuel (clic droit) et choisissez New, Interoperable Device.

  4. Pour Name (Nom), entrez le nom que vous avez fourni pour votre tunnel : AWS_VPC_Tunnel_1 ou AWS_VPC_Tunnel_2, par exemple.

  5. Pour IPv4 Address, entrez l'adresse IP externe de la passerelle réseau privé virtuel fournie dans le fichier de configuration (54.84.169.196, par exemple). Enregistrez vos paramètres et fermez la boîte de dialogue.

    Boîte de dialogue Check Point Interoperable Device

  6. Dans le volet SmartDashboard, ouvrez les propriétés de votre passerelle et dans le volet des catégories, sélectionnez Topology.

  7. Pour récupérer la configuration de l'interface, choisissez Get Topology.

  8. Dans la section VPN Domain (Domaine VPN), choisissez Manually defined (Défini manuellement), puis accédez au groupe simple vide que vous avez créé à l'étape 2 et sélectionnez-le. Choisissez OK.

    Note

    Vous pouvez conserver n'importe quel domaine VPN existant que vous avez configuré. Cependant, assurez-vous que les hôtes et les réseaux qui sont utilisés ou servis par la nouvelle connexion VPN ne sont pas déclarés dans ce domaine VPN, notamment si le domaine VPN est automatiquement dérivé.

  9. Répétez ces étapes pour créer un second objet réseau, à l'aide des informations de la section IPSec Tunnel #2 du fichier de configuration.

Note

Si vous utilisez des clusters, modifiez la topologie et définissez les interfaces comme interfaces de cluster. Utilisez les adresses IP spécifiées dans le fichier de configuration.

Pour créer et configurer la communauté VPN, et les paramètres IKE et IPsec

Dans cette étape, vous créez une communauté VPN sur votre passerelle Check Point, à laquelle vous ajoutez les objets réseau (périphériques interopérables) de chaque tunnel. Vous configurez également les paramètres IKE (Internet Key Exchange) et IPsec.

  1. A partir des propriétés de votre passerelle, choisissez IPSec VPN dans le volet des catégories.

  2. Choisissez Communities, New, Star Community.

  3. Entrez un nom pour votre communauté (par exemple, AWS_VPN_Star), puis choisissez Center Gateways dans le volet des catégories.

  4. Choisissez Add, puis ajoutez votre passerelle ou cluster à la liste des passerelles participantes.

  5. Dans le volet des catégories, sélectionnez Satellite Gateways (Passerelles satellites), Add (Ajouter), puis ajoutez les périphériques interopérables que vous avez créés précédemment (AWS_VPC_Tunnel_1 et AWS_VPC_Tunnel_2) à la liste des passerelles participantes.

  6. Dans le volet des catégories, sélectionnez Encryption. Dans la section Encryption Method, choisissez IKEv1 only. Dans la section Encryption Suite, choisissez Custom, Custom Encryption.

  7. Dans la boîte de dialogue, configurez les propriétés de chiffrement comme suit, puis sélectionnez OK lorsque vous avez terminé :

    • Propriétés IKE Security Association (Phase 1) :

      • Perform key exchange encryption with : AES-128

      • Perform data integrity with : SHA-1

    • Propriétés IPsec Security Association (Phase 2) :

      • Perform IPsec data encryption with : AES-128

      • Perform data integrity with : SHA-1

  8. Dans le volet des catégories, sélectionnez Tunnel Management. Choisissez Set Permanent Tunnels, On all tunnels in the community. Dans la section VPN Tunnel Sharing, choisissez One VPN tunnel per Gateway pair.

  9. Dans le volet des catégories, développez Advanced Settings, puis choisissez Shared Secret.

  10. Sélectionnez le nom d'homologue du premier tunnel, choisissez Edit (Modifier) et entrez la clé prépartagée comme indiqué dans la section IPSec Tunnel #1 du fichier de configuration.

  11. Sélectionnez le nom d'homologue du second tunnel, choisissez Edit (Modifier) et entrez la clé prépartagée comme indiqué dans la section IPSec Tunnel #2 du fichier de configuration.

    Boîte de dialogue Check Point Interoperable Shared Secret

  12. Toujours dans la catégorie Advanced Settings (Paramètres avancés), choisissez Advanced VPN Properties (Propriétés de VPN avancées), configurez les propriétés comme suit et sélectionnez OK lorsque vous avez terminé :

    • IKE (Phase 1) :

      • Use Diffie-Hellman group (Utiliser le groupe Diffie-Hellman) : Group 2

      • Renegotiate IKE security associations every 480 minutes

    • IPsec (Phase 2) :

      • Choisissez Use Perfect Forward Secrecy

      • Use Diffie-Hellman group (Utiliser le groupe Diffie-Hellman) : Group 2

      • Renegotiate IPsec security associations every 3600 seconds

Pour créer les règles de pare-feu

Dans cette étape, vous configurez une stratégie avec les règles de pare-feu et les règles de correspondance directionnelle qui autorisent les communications entre le VPC et le réseau local. Puis, vous installez la stratégie sur votre passerelle.

  1. Dans le SmartDashboard, choisissez Propriétés globales pour votre passerelle. Dans le volet des catégories, développez VPN, puis choisissez Advanced.

  2. Choisissez Enable VPN Directional Match in VPN Column et enregistrez vos modifications.

  3. Dans le SmartDashboard, choisissez Firewall, puis créez une politique avec les règles suivantes :

    • Autoriser le sous-réseau VPC à communiquer avec le réseau local via les protocoles requis.

    • Autoriser le réseau local à communiquer avec le sous-réseau VPC via les protocoles requis.

  4. Ouvrez le menu contextuel de la cellule de la colonne VPN, puis choisissez Edit Cell.

  5. Dans la boîte de dialogue VPN Match Conditions, choisissez Match traffic in this direction only. Créez les règles de correspondance directionnelle suivantes en choisissant Add pour chaque règle, puis OK lorsque vous avez terminé :

    • internal_clear > Communauté VPN (la communauté VPN que vous avez créée plus tôt : par exemple, AWS_VPN_Star)

    • Communauté VPN > Communauté VPN

    • Communauté VPN > internal_clear

  6. Dans le SmartDashboard, choisissez Policy, Install.

  7. Dans la boîte de dialogue, sélectionnez votre passerelle, puis choisissez OK pour installer la stratégie.

Pour modifier la propriété tunnel_keepalive_method

Votre passerelle Check Point peut utiliser la détection d'homologue mort (DPD, Dead Peer Detection) pour savoir à quel moment une association IKE est arrêtée. Pour configurer DDP pour un tunnel permanent, le tunnel permanent doit être configuré dans la communauté AWS VPN (reportez-vous à l'étape 8).

Par défaut, la propriété tunnel_keepalive_method pour une passerelle VPN est définie sur tunnel_test. Vous devez modifier la valeur sur dpd. Chaque passerelle VPN de la communauté VPN qui nécessite une surveillance DPD doit être configurée avec la propriété tunnel_keepalive_method, notamment toute passerelle VPN tierce. Vous ne pouvez pas configurer différents mécanismes de surveillance pour la même passerelle.

Vous pouvez mettre à jour la propriété tunnel_keepalive_method en utilisant l'outil GuiDBedit.

  1. Ouvrez le point SmartDashboard de contrôle et choisissez Security Management Server, Domain Management Server.

  2. Choisissez File, Database Revision Control... et créez un instantané de révision.

  3. Fermez toutes les SmartConsole fenêtres, telles que le SmartDashboard SmartView Tracker et le SmartView Monitor.

  4. Démarrez l'outil GuiBDedit. Pour plus d'informations, consultez l'article Check Point Database Tool sur le Centre de support Check Point.

  5. Choisissez Security Management Server, Domain Management Server.

  6. Dans le volet supérieur gauche, choisissez Table, Network Objects, network_objects.

  7. Dans le volet supérieur droit, sélectionnez l'objet Security Gateway, Cluster approprié.

  8. Appuyez sur CTRL+F, ou utilisez le menu Search pour rechercher ce qui suit : tunnel_keepalive_method.

  9. Dans le volet inférieur, ouvrez le menu contextuel pour tunnel_keepalive_method et sélectionnez Edit... (Éditer...). Choisissez dpd, puis OK.

  10. Répétez les étapes 7 à 9 pour chaque passerelle faisant partie de la communauté AWS VPN.

  11. Sélectionnez File, Save As.

  12. Fermez l'outil GuiDBedit.

  13. Ouvrez le point SmartDashboard de contrôle et choisissez Security Management Server, Domain Management Server.

  14. Installez la stratégie sur l'objet Security Gateway, Cluster approprié.

Pour plus d'informations, consultez l'article Nouvelles fonction VPN dans R77.10 sur le Centre de support Check Point.

Pour activer la restriction TCP MSS

La restriction TCP MSS réduit la taille de segment maximale des paquets TCP afin d'éviter la fragmentation des paquets.

  1. Accédez au répertoire suivant : C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

  2. Ouvrez Check Point Database Tool en exécutant le fichier GuiDBEdit.exe.

  3. Choisissez Table, Global Properties, properties.

  4. Pour fw_clamp_tcp_mss, choisissez Edit. Remplacez la valeur par true, puis choisissez OK.

Pour vérifier l'état du tunnel

Vous pouvez vérifier l'état du tunnel en exécutant la commande suivante à partir de l'outil de ligne de commande en mode expert.

vpn tunnelutil

Dans les options qui s'affichent, sélectionnez 1 pour vérifier les associations IKE et 2 pour vérifier les associations IPsec.

Vous pouvez aussi utiliser le journal Check Point Smart Tracker Log pour vérifier que les paquets de la connexion sont chiffrés. Par exemple, le journal suivant indique qu'un paquet adressé au VPC a été envoyé via le tunnel 1 et qu'il a été chiffré.

Fichier journal Check Point
SonicWALL

La procédure suivante montre comment configurer les tunnels VPN sur l'appareil SonicWALL à l'aide de l'interface de gestion SonicOS.

Pour configurer les tunnels

  1. Ouvrez l'interface de gestion SonicOS SonicWALL.

  2. Dans le volet de gauche, sélectionnez VPN, Settings. Sous VPN Policies, choisissez Add....

  3. Dans la fenêtre de stratégie VPN de l'onglet General , renseignez les informations suivantes :

    • Type de stratégie : Choisissez Tunnel Interface.

    • Authentication Method : choisissez IKE using Preshared Secret.

    • Name : entrez un nom pour la stratégie VPN. Nous vous recommandons d'utiliser le nom de l'ID de VPN, tel que fourni dans le fichier de configuration.

    • IPsec Primary Gateway Name or Address (Nom ou adresse de la passerelle principale IPsec) : saisissez l'adresse IP de la passerelle réseau privé virtuel telle que fournie dans le fichier de configuration (par exemple, 72.21.209.193).

    • IPsec Secondary Gateway Name or Address : laissez la valeur par défaut.

    • Shared Secret : entrez la clé pré-partagée, telle que fournie dans le fichier de configuration, puis entrez-la à nouveau dans Confirm Shared Secret.

    • Local IKE ID : entrez l'adresse IPv4 de la passerelle client (l'appareil SonicWALL).

    • Peer IKE ID : saisissez l'adresse IPv4 de la passerelle réseau privé virtuel.

  4. Dans l'onglet Network, renseignez les informations suivantes :

    • Sous Local Networks, choisissez Any address. Nous recommandons cette option afin d'éviter des problèmes de connectivité à partir de votre réseau local.

    • Sous Remote Networks, choisissez Choose a destination network from list. Créez un objet d'adresse avec le CIDR de votre VPC dans AWS.

  5. Dans l'onglet Proposals (Propositions), renseignez les informations suivantes.

    • Sous IKE (Phase 1) Proposal, procédez comme suit :

      • Exchange : choisissez Main Mode.

      • DH Group (Groupe DH) : entrez une valeur pour le groupe Diffie-Hellman (par exemple, 2).

      • Encryption : choisissez AES-128 ou AES-256.

      • Authentication : choisissez SHA1 ou SHA256.

      • Life Time : entrez 28800.

    • Sous IKE (Phase 2) Proposal, procédez comme suit :

      • Protocol : choisissez ESP.

      • Encryption : choisissez AES-128 ou AES-256.

      • Authentication : choisissez SHA1 ou SHA256.

      • Cochez la case Enable Perfect Forward Secrecy, puis choisissez le groupe Diffie-Hellman.

      • Life Time : entrez 3600.

    Important

    Si vous avez créé votre passerelle réseau privé virtuel avant octobre 2015, vous devez spécifier Diffie-Hellman group 2, AES-128 et SHA1 pour les deux phases.

  6. Dans l'onglet Advanced, renseignez les informations suivantes :

    • Sélectionnez Enable Keep Alive.

    • Sélectionnez Enable Phase2 Dead Peer Detection et entrez les informations suivantes :

      • Pour Dead Peer Detection Interval, entrez 60 (c'est le minimum que l'appareil SonicWALL accepte).

      • Pour Failure Trigger Level, entrez 3.

    • Pour VPN Policy bound to, sélectionnez Interface X1. C'est l'interface qui est généralement désignée pour les adresses IP publiques.

  7. Choisissez OK. Sur la page Settings, la case Enable pour le tunnel doit être cochée par défaut. Un point vert indique que le tunnel fonctionne.

Informations supplémentaires pour les périphériques Cisco

Certains systèmes Cisco ASA ne prennent en charge que le mode actif/en veille. Lorsque vous utilisez ces systèmes Cisco ASA, vous ne pouvez avoir qu'un seul tunnel actif à la fois. L'autre tunnel en veille devient actif si le premier tunnel devient inaccessible. Avec cette redondance, l'un des tunnels devrait toujours assurer la connexion à votre VPC.

Les systèmes Cisco ASA version 9.7.1 ou ultérieure prennent en charge le mode actif/actif. Lorsque vous utilisez ces systèmes Cisco ASA, vous pouvez avoir les deux tunnels actifs à la fois. Avec cette redondance, l'un des tunnels devrait toujours assurer la connexion à votre VPC.

Pour les périphériques Cisco, vous devez effectuer les opérations suivantes :

  • Configurer l'interface externe.

  • Vous assurer que le numéro de séquence de la stratégie ISAKMP du Crypto est unique.

  • Vous assurer que le numéro de séquence de la stratégie de la liste Crypto est unique.

  • Vous assurer que le jeu de transformations Crypto IPsec et la séquence de la stratégie Crypto ISAKMP sont en accord avec tous les autres tunnels IPsec configurés sur le périphérique.

  • Vous assurer que le numéro de supervision du SLA est unique.

  • Configurer tous les routages internes qui acheminent le trafic entre le périphérique de passerelle client et votre réseau local.

Test

Pour plus d'informations sur le test de votre connexion Site-to-Site VPN, consultez Test d'une connexion VPN site à site.