VPN IPsec entre 2 sites ayant la même plage d`adresses IP
Transcription
VPN IPsec entre 2 sites ayant la même plage d`adresses IP
Appliances UTM NETASQ v6.1 HOWTO : VPN IPsec entre 2 sites ayant la même plage d’adresses IP Version 1.0 - © NETASQ 2006 VPN & Plages IP recouvrantes Introduction Par défaut, les fonctionnalités VPN IPsec des appliances UTM NETASQ ne permettent pas la mise en place de tunnel VPN IPsec entre deux ou plusieurs réseaux dont les plages d’adresses IP se recouvrent complètement ou partiellement. Ainsi dans le cas où les deux réseaux souhaitant communiquer avait été défini avec les mêmes plages d’adresses (ex : 192.168.0.0 / 255.255.255.0), la mise en place d’un tunnel pouvait s’avérer problématique. Grâce à l’option « NAT avant le VPN » disponible sur les appliances UTM NETASQ à partir de la version 6.1, il est désormais possible d’envisager une telle architecture. Architectures abordées dans ce document Dans ce document deux architectures sont distinguées. Dans un premier temps on abordera la configuration de tunnels VPN IPsec dans le cadre d’une architecture de type Client-Serveur. Dans cette architecture le site dit « client » est toujours à l’initiative de la négociation du tunnel VPN IPsec. Mais il peut exister plusieurs sites « client ». Dans ce cas nous verrons que la configuration est relativement asymétrique entre les sites « client » et le site serveur. Dans un deuxième temps le document évoque la configuration de tunnels VPN IPsec dans le cadre d’une architecture de type « N vers N ». Dans cette architecture chacun des deux correspondants VPN peut être à l’initiative de la négociation du tunnel VPN IPsec. Ainsi on verra une configuration symétrique sur les deux sites. Architecture Client-Serveur Dans l’architecture Client-Serveur présentée, les réseaux des A et B possédent la même plage d’adresses IP et chacun des sites veut pouvoir contacter le site C (la configuration serait la même si les plages d’adresses des réseaux A et B ne se recouvraient que partiellement). Ici les sites A et B sont toujours à l’initiative de la négociation du tunnel VPN IPsec. Configuration à effectuer pour les sites « Client » On effectue d’abord la configuration du site A. 1- Définition d’un réseau « virtuel » pour le réseau du site A Version 1.0 - © NETASQ 2006 Page 2 sur 12 Référence: na_tn_vpnequal_0106_fr VPN & Plages IP recouvrantes Le réseau virtuel A n’aura aucune réalité physique. Il permettra uniquement la translation complète du réseau du site A. Il est préférable de définir ce réseau virtuel A dans une plage d’adresses IP privée, bien que cela ne soit pas obligatoire. Ici on choisit Net_Virtuel_A : 172.16.0.0 / 255.255.255.0. Notez que la plage d’adresses originale et la plage d’adresses virtuelle doivent comporter exactement le même nombre d’adresses IP. 2- Définition de la politique de translation pour le site A La politique de translation de l’appliance UTM du site A doit être modifiée de manière à ce que les trafics à destination du site distant (site C) soient translatés vers la plage d’adresses virtuelle du site A. Ainsi vous devez ajouter les règles suivantes à votre politique : Action Interface Original Destination Translaté map ipsec Net_A Net_C Net_virtuel_A map ifx Net_A Net_C Net_virtuel_A Dans l’exemple « ifx » = interface out, mais cela n’est pas toujours le cas. Reportez-vous à la section « Comment déterminer l’interface ifx » pour comprendre comment définir cette interface. Version 1.0 - © NETASQ 2006 Page 3 sur 12 Référence: na_tn_vpnequal_0106_fr VPN & Plages IP recouvrantes 3- Activation de l’option « NAT avant le VPN » pour le site A Sur chacun des sites qui ont leur plage d’adresses IP se recouvrent, il est nécessaire d’activer l’option « NAT avant le VPN » ce qui a pour effet d’effectuer les étapes de translation du trafic avant son passage dans le module VPN de l’appliance UTM NETASQ. 4- Définition de la politique VPN pour le site A Dernière étape de configuration pour le site A, la politique VPN tient compte des adaptations qui ont été faite à la politique de translation. En effet dès lors que la politique de translation est modifiée et que l’option « NAT avant le VPN » est cochée, le trafic du réseau Net_A est complètement translaté vers Net_virtuel_A avant d’entrer dans le module VPN. Ainsi l’extrémité locale du trafic devient ce réseau virtuel. Extrémité locale du trafic Net_virtuel_A Extrémité locale Extrémité distante Extrémité distante du tunnel du tunnel du trafic Fw_pub_A Fw_pub_C Net_C La configuration du site A est terminée. On poursuit la configuration des sites clients par la configuration du site B. Cette configuration est sensiblement la même que pour le site A. 5- Définition d’un réseau « virtuel » pour le réseau du site B Le réseau virtuel B n’aura aucune réalité physique. Il permettra uniquement la translation complète du réseau du site B. Il est préférable de définir ce réseau virtuel B dans une plage d’adresses IP privée, bien que cela ne soit pas obligatoire. Version 1.0 - © NETASQ 2006 Page 4 sur 12 Référence: na_tn_vpnequal_0106_fr VPN & Plages IP recouvrantes Ici on choisit Net_Virtuel_B : 172.16.1.0 / 255.255.255.0. Notez que la plage d’adresses originale et la plage d’adresses virtuelle doivent comporter exactement le même nombre d’adresses IP. 6- Définition de la politique de translation pour le site B La politique de translation de l’appliance UTM du site B doit être modifiée de manière à ce que les trafics à destination du site distant (site C) soient translatés vers la plage d’adresses virtuelle du site B. Ainsi vous devez ajouter les règles suivantes à votre politique : Action Interface Original Destination Translaté map ipsec Net_B Net_C Net_virtuel_B map ifx Net_B Net_C Net_virtuel_B Dans l’exemple « ifx » = interface out, mais cela n’est pas toujours le cas. Reportez-vous à la section « Comment déterminer l’interface ifx » pour comprendre comment définir cette interface. 7- Activation de l’option « NAT avant le VPN » pour le site B Version 1.0 - © NETASQ 2006 Page 5 sur 12 Référence: na_tn_vpnequal_0106_fr VPN & Plages IP recouvrantes Sur chacun des sites qui ont leur plage d’adresses IP se recouvrent, il est nécessaire d’activer l’option « NAT avant le VPN » ce qui a pour effet d’effectuer les étapes de translation du trafic avant son passage dans le module VPN de l’appliance UTM NETASQ. 8- Définition de la politique VPN pour le site B Dernière étape de configuration pour le site B, la politique VPN tient compte des adaptations qui ont été faite à la politique de translation. En effet dès lors que la politique de translation est modifiée et que l’option « NAT avant le VPN » est cochée, le trafic du réseau Net_B est complètement translaté vers Net_virtuel_B avant d’entrer dans le module VPN. Ainsi l’extrémité locale du trafic devient ce réseau virtuel. Extrémité locale du trafic Net_virtuel_B Extrémité locale Extrémité distante Extrémité distante du tunnel du tunnel du trafic Fw_pub_B Fw_pub_C Net_C La configuration du site B est terminée. Il est nécessaire d’effectuer désormais la configuration du site « Serveur », le site C. Configuration à effectuer pour le site « Serveur » Vous noterez que la configuration du site « Serveur » est plus simple. De plus l’option « NAT avant le VPN » ne sera pas activée sur l’appliance UTM NETASQ du site « Serveur ». 1- Définition des réseaux « virtuels » pour les réseaux des sites A et B Ces réseaux virtuels n’auront aucune réalité physique. Ils permettront uniquement la définition de politique de tunnels VPN IPsec en concordance avec la configuration effectuée sur les sites Version 1.0 - © NETASQ 2006 Page 6 sur 12 Référence: na_tn_vpnequal_0106_fr VPN & Plages IP recouvrantes clients. Rappel : on avait choisi Net_Virtuel_A : 172.16.0.0 / 255.255.255.0 et Net_Virtuel_B : 172.16.1.0 / 255.255.255.0. 2- Définition de la politique VPN pour le site C Dernière étape de configuration pour le site C, la politique VPN tient compte des adaptations qui ont été faite à la politique de translation sur les sites « client ». Ainsi l’extrémité distante des trafics devient les réseaux virtuels qui ont été définis. Extrémité locale du trafic Extrémité locale Extrémité distante Extrémité distante du tunnel du tunnel du trafic Net_C Fw_pub_C Fw_pub_A Net_virtuel_A Net_C Fw_pub_C Fw_pub_B Net_virtuel_B Architecture N vers N Dans l’architecture N vers N présentée, les réseaux des A et B possédent la même plage d’adresses IP (la configuration serait la même si les plages d’adresses des réseaux A et B ne se recouvraient que partiellement). Les deux sites peuvent être à l’initiative de la mise en place du tunnel VPN IPsec. Configuration à effectuer pour le site A 1- Définition des réseaux « virtuels » pour les réseaux des sites A et B Ces réseaux virtuels n’auront aucune réalité physique. Ils permettront la translation complète des reséaux des sites A et B et la définition de politique de tunnels VPN IPsec en concordance avec la configuration effectuée sur les sites A et B. Il est préférable de définir ces réseaux virtuels dans une plage d’adresses IP privée, bien que cela ne soit pas obligatoire. Ici on choisit Net_Virtuel_A : 172.16.0.0 / 255.255.255.0 et Net_Virtuel_B : 172.16.1.0 / 255.255.255.0.Notez que la plage d’adresses originale et la plage d’adresses virtuelle doivent comporter exactement le même nombre d’adresses IP. Version 1.0 - © NETASQ 2006 Page 7 sur 12 Référence: na_tn_vpnequal_0106_fr VPN & Plages IP recouvrantes 2- Définition de la politique de translation pour le site A La politique de translation de l’appliance UTM du site A doit être modifiée de manière à ce que les trafics à destination du site distant soient translatés vers la plage d’adresses virtuelle du site A. De plus étant donné que l’ensemble du site distant est translaté, ce site distant est défini par le réseau virtuel défini préalablement. Ainsi vous devez ajouter les règles suivantes à votre politique : Action Interface Original Destination Translaté map ipsec Net_A Net_virtuel_B Net_virtuel_A map ifx Net_A Net_virtuel_B Net_virtuel_A Dans l’exemple « ifx » = interface out, mais cela n’est pas toujours le cas. Reportez-vous à la section « Comment déterminer l’interface ifx » pour comprendre comment définir cette interface. 3- Activation de l’option « NAT avant le VPN » pour le site A Sur chacun des sites qui ont leur plage d’adresses IP se recouvrent, il est nécessaire d’activer l’option « NAT avant le VPN » ce qui a pour effet d’effectuer les étapes de translation du trafic avant son passage dans le module VPN de l’appliance UTM NETASQ. Version 1.0 - © NETASQ 2006 Page 8 sur 12 Référence: na_tn_vpnequal_0106_fr VPN & Plages IP recouvrantes 4- Définition de la politique VPN pour le site A Dernière étape de configuration pour le site A, la politique VPN tient compte des adaptations qui ont été faite à la politique de translation. En effet dès lors que la politique de translation est modifiée et que l’option « NAT avant le VPN » est cochée, le trafic du réseau Net_A est complètement translaté vers Net_virtuel_A avant d’entrer dans le module VPN. Ainsi l’extrémité locale du trafic devient ce réseau virtuel. Extrémité locale du trafic Net_virtuel_A Extrémité locale Extrémité distante Extrémité distante du tunnel du tunnel du trafic Fw_pub_A Fw_pub_B Net_virtuel_B Configuration à effectuer pour le site B 1- Définition des réseaux « virtuels » pour les réseaux des sites A et B Ces réseaux virtuels n’auront aucune réalité physique. Ils permettront la translation complète des reséaux des sites A et B et la définition de politique de tunnels VPN IPsec en concordance avec la configuration effectuée sur les sites A et B. Il est préférable de définir ces réseaux virtuels dans une plage d’adresses IP privée, bien que cela ne soit pas obligatoire. Ici on choisit Net_Virtuel_A : 172.16.0.0 / 255.255.255.0 et Net_Virtuel_B : 172.16.1.0 / 255.255.255.0.Notez que la plage d’adresses originale et la plage d’adresses virtuelle doivent comporter exactement le même nombre d’adresses IP. Version 1.0 - © NETASQ 2006 Page 9 sur 12 Référence: na_tn_vpnequal_0106_fr VPN & Plages IP recouvrantes 2- Définition de la politique de translation pour le site B La politique de translation de l’appliance UTM du site A doit être modifiée de manière à ce que les trafics à destination du site distant soient translatés vers la plage d’adresses virtuelle du site A. De plus étant donné que l’ensemble du site distant est translaté, ce site distant est défini par le réseau virtuel défini préalablement. Ainsi vous devez ajouter les règles suivantes à votre politique : Action Interface Original Destination Translaté map ipsec Net_B Net_virtuel_A Net_virtuel_B map ifx Net_B Net_virtuel_A Net_virtuel_B Dans l’exemple « ifx » = interface out, mais cela n’est pas toujours le cas. Reportez-vous à la section « Comment déterminer l’interface ifx » pour comprendre comment définir cette interface. 3- Activation de l’option « NAT avant le VPN » pour le site B Sur chacun des sites qui ont leur plage d’adresses IP se recouvrent, il est nécessaire d’activer l’option « NAT avant le VPN » ce qui a pour effet d’effectuer les étapes de translation du trafic avant son passage dans le module VPN de l’appliance UTM NETASQ. Version 1.0 - © NETASQ 2006 Page 10 sur 12 Référence: na_tn_vpnequal_0106_fr VPN & Plages IP recouvrantes 4- Définition de la politique VPN pour le site B Dernière étape de configuration pour le site B, la politique VPN tient compte des adaptations qui ont été faite à la politique de translation. En effet dès lors que la politique de translation est modifiée et que l’option « NAT avant le VPN » est cochée, le trafic du réseau Net_B est complètement translaté vers Net_virtuel_B avant d’entrer dans le module VPN. Ainsi l’extrémité locale du trafic devient ce réseau virtuel. Extrémité locale du trafic Net_virtuel_B Extrémité locale Extrémité distante Extrémité distante du tunnel du tunnel du trafic Fw_pub_B Fw_pub_A Net_virtuel_A Comment définir l’interface « ifx » ? L’interface « ifx » doit être définie pour la configuration de la politique de translation. Cette interface est « l’interface sur laquelle seraient partis les paquets s’il n’y avait pas de tunnel VPN IPsec ». Dans la majorité des cas, cette interface est l’interface OUT mais il peut arriver que cela ne soit pas le cas comme dans l’exemple suivant : Version 1.0 - © NETASQ 2006 Page 11 sur 12 Référence: na_tn_vpnequal_0106_fr VPN & Plages IP recouvrantes Ici la direction « normale » du trafic à destination du réseau 192.168.0.0 / 255.255.255.0 aurait dû être l’interface DMZ. Mais du fait du tunnel on veut le rediriger vers le site B. Ainsi l’interface « ifx » est DMZ et non OUT comme dans le cas général. Version 1.0 - © NETASQ 2006 Page 12 sur 12 Référence: na_tn_vpnequal_0106_fr