checkpoint:vpn-1:vpn-s2s
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Prochaine révision | Révision précédente | ||
| checkpoint:vpn-1:vpn-s2s [07.08.2007 13:01] – création youp3 | checkpoint:vpn-1:vpn-s2s [07.01.2010 12:32] (Version actuelle) – modification externe 127.0.0.1 | ||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| ====== VPN site à site ====== | ====== VPN site à site ====== | ||
| - | Cette page recense normalement tout ce qu' | + | Cette page recense normalement tout ce qu'il faut pour monter un tunnel site à site avec Check Point.\\ |
| + | ===== La communauté VPN ===== | ||
| + | Pour créer la communauté VPN, rendez-vous sur l' | ||
| + | - Faire un clic droit dans le cadre du haut. | ||
| + | - Choisir //New Community// > // | ||
| + | - Donner un nom à la communauté (nous prendrons //Zamiz// pour le reste de cette page). | ||
| + | - Dans //VPN Properties// | ||
| + | - IKE (Phase 1) Properties | ||
| + | * Perform key exchange encrytpion with: **AES-256** | ||
| + | * Perform data integrity with: **SHA1** | ||
| + | - IPSec (Phase 2) Properties | ||
| + | * Perform IPSec data encryption with: **AES-256** | ||
| + | * Perform data integrity with: **SHA1** | ||
| + | - Dans //Tunnel management// | ||
| + | - Dans //Advanced Settings// | ||
| + | - //Excluded Services// : ajouter ici le port UDP/500 (IKE) ainsi que tout autre port que vous ne voulez absolument pas voir passer dans le tunnel. | ||
| + | - //Shared Secret// : utile uniquement si vous souhaitez utiliser monter un tunnel en utilisant une clé partagée (Pre Shared Key ou PSK). Si possible, privilégiez plutôt la solution avec certificats. | ||
| + | - //Advanced VPN Properties// | ||
| + | - IKE (Phase 1) | ||
| + | * Use Diffie-Hellman group: **Group 2 (1024 bit)** [On peut utiliser à la rigueur le groupe 5 mais pas plus pour garder la compatibilité avec NGAI] | ||
| + | * Renegociate IKE security associations every **1440** minutes | ||
| + | * Use aggressive mode : peut être coché ou non, cela dépend des VPN utilisées. | ||
| + | - IPSec (Phase 2) | ||
| + | * Cocher //Use Perfect Forward Secrecy// et choisir **Group 2 (1024 bit)** pour l' | ||
| + | * Renegociate IPSec security associations every **3600** seconds | ||
| + | - //Wire Mod// : il faut évitez si possible d' | ||
| + | ===== Les objets VPN ===== | ||
| + | Nous prenons comme hypothèse qu'une seule VPN est gérée par notre SmartCenter. | ||
| + | |||
| + | ==== VPN A ==== | ||
| + | La VPN A sera celle gérée par notre SmartCenter et nous considèrerons ici que c'est un objet Check Point de type //VPN-1 Power / UTM Gateway// | ||
| + | - Donner un nom et l' | ||
| + | - Renseigner précisément partie // | ||
| + | - Toujours dans cette partie Topology, il faut définir le //VPN Domain//. Il faut définir ici les adresses qui sont protégées par VPN A et donc pour lesquelles VPN B enverra les flux dans le tunnel. Généralement on privilégie l' | ||
| + | - Dans la partie VPN, ajouter la communauté //Zamiz// en cliquant sur // | ||
| + | - Cliquer ensuite sur // | ||
| + | - Support key exchange encryption with: | ||
| + | * Cocher uniquement **AES-256**. | ||
| + | - Support data integrity with: | ||
| + | * Cocher uniquement **SHA1** | ||
| + | - Support authentication methods: | ||
| + | * Cocher de préférence uniquement //Public Key Signatures// | ||
| + | - Cliquer enfin sur // | ||
| + | - Support Diffie-Hellman groups for IKE (phase 1) Security associations | ||
| + | * Cocher **Group 2 (1024 bit)** [On peut utiliser à la rigueur le groupe 5 mais pas plus pour garder la compatibilité avec NGAI] | ||
| + | - Renegociate IKE (phase 1) Security associtations every **1440** Minutes | ||
| + | - Renegociate IPsec (IKE phase 2) Security associations every **3600** Seconds | ||
| + | - Cocher éventuellement la case //Support aggressive mode// selon le besoin. | ||
| + | |||
| + | ==== VPN B ==== | ||
| + | La VPN B, que ce soit un matériel Check Point ou non doit être du type // | ||
| + | - Donner un nom et l' | ||
| + | - Dans la partie Topology, renseigner une interface (bidon) avec l' | ||
| + | - Toujours dans cette partie Topology, il faut définir le //VPN Domain//. Il faut définir ici les adresses qui sont protégées par VPN B et donc pour lesquelles VPN A enverra les flux dans le tunnel. Généralement on privilégie l' | ||
| + | - Dans la partie VPN, ajouter la communauté //Zamiz// en cliquant sur // | ||
| + | - Dans //Matching Criteria...//, | ||
| + | ===== Flux à ouvrir pour le tunnel ===== | ||
| + | Les deux règles suivantes permettent l' | ||
| + | < | ||
| + | VPN B > VPN A : UDP/500 (IKE)</ | ||
| + | **__Attention__** : la création de ces règles ne suffit pas et il faut penser à exclure le port UDP/500 de la [[checkpoint: | ||
| + | ===== Flux tunnelisés ===== | ||
| + | Check Point recommande d' | ||
| + | ===== Déboguer un tunnel ne fonctionnant pas ===== | ||
| + | Sur le module VPN, activer le mode déboguage en exécutant la commande suivante : < | ||
| + | vpn debug ikeon</ | ||
| + | Ne pas oublier d' | ||
| + | vpn debug ikeoff</ | ||
| + | Pour exploiter ces traces de manière simple, vous pouvez télécharger l' | ||
checkpoint/vpn-1/vpn-s2s.1186491712.txt.gz · Dernière modification : (modification externe)
