Outils pour utilisateurs

Outils du site


checkpoint:vpn-1:vpn-s2s

Ceci est une ancienne révision du document !


VPN site à site

Cette page recense normalement tout ce qu'il faut pour monter un tunnel site à site avec Check Point.

La communauté VPN

Pour créer la communauté VPN, rendez-vous sur l'onglet VPN du SmartDashboard :

  1. Faire un clic droit dans le cadre du haut.
  2. Choisir New Community > Meshed…
  3. Donner un nom à la communauté (nous prendrons Zamiz pour le reste de cette page).
  4. Dans VPN Properties
    1. IKE (Phase 1) Properties
      • Perform key exchange encrytpion with: AES-256
      • Perform data integrity with: SHA1
    2. IPSec (Phase 2) Properties
      • Perform IPSec data encryption with: AES-256
      • Perform data integrity with: SHA1
  5. Dans Tunnel management (NGX R65), choisir l'option VPN Tunnel Sharing qui convient le mieux à votre situation. Généralement pour un tunnel site à site, le troisième et dernier choix One VPN Tunnel per Gateway pair est suffisante.
  6. Dans Advanced Settings
    1. Excluded Services : ajouter ici le port UDP/500 (IKE) ainsi que tout autre port que vous ne voulez absolument pas voir passer dans le tunnel.
    2. Shared Secret : utile uniquement si vous souhaitez utiliser monter un tunnel en utilisant une clé partagée (Pre Shared Key ou PSK). Si possible, privilégiez plutôt la solution avec certificats.
    3. Advanced VPN Properties :
      1. IKE (Phase 1)
        • Use Diffie-Hellman group: Group 2 (1024 bit) [On peut utiliser à la rigueur le groupe 5 mais pas plus pour garder la compatibilité avec NGAI]
        • Renegociate IKE security associations every 1440 minutes
        • Use aggressive mode : peut être coché ou non, cela dépend des VPN utilisées.
      2. IPSec (Phase 2)
        • Cocher Use Perfect Forward Secrecy et choisir Group 2 (1024 bit) pour l'option Use Diffie-Hellman group. Même remarque que précédemment concernant le groupe 5.
        • Renegociate IPSec security associations every 3600 seconds
    4. Wire Mod : il faut évitez si possible d'utiliser ce genre d'option.

Les objets VPN

Nous prenons comme hypothèse qu'une seule VPN est gérée par notre SmartCenter.

VPN A

La VPN A sera celle gérée par notre SmartCenter et nous considèrerons ici que c'est un objet Check Point de type VPN-1 Power / UTM Gateway.

  1. Donner un nom et l'adresse IP externe de la VPN (celle connue par notre partenaire, indispensable avant NGX).
  2. Renseigner précisément partie Topology.
  3. Toujours dans cette partie Topology, il faut définir le VPN Domain. Il faut définir ici les adresses qui sont protégées par VPN A et donc pour lesquelles VPN B enverra les flux dans le tunnel. Généralement on privilégie l'option Manually defined car elle permet d'indiquer précisément les adresses.
  4. Dans la partie VPN, ajouter la communauté Zamiz en cliquant sur Add…
  5. Cliquer ensuite sur Traditionnal mode configuration…
    1. Support key exchange encryption with:
      • Cocher uniquement AES-256.
    2. Support data integrity with:
      • Cocher uniquement SHA1
    3. Support authentication methods:
      • Cocher de préférence uniquement Public Key Signatures. Il est possible de spécifier les certificats de quelle AC la passerelle doit utiliser en cliquant sur le bouton Specify. Mais ceci n'est valable que pour le dialogue avec des VPN gérées par le même SmartCenter
    4. Cliquer enfin sur Advanced…
      1. Support Diffie-Hellman groups for IKE (phase 1) Security associations
        • Cocher Group 2 (1024 bit) [On peut utiliser à la rigueur le groupe 5 mais pas plus pour garder la compatibilité avec NGAI]
      2. Renegociate IKE (phase 1) Security associtations every 1440 Minutes
      3. Renegociate IPsec (IKE phase 2) Security associations every 3600 Seconds
      4. Cocher éventuellement la case Support aggressive mode selon le besoin.

VPN B

La VPN B, que ce soit un matériel Check Point ou non doit être du type Interoperable Devices. Pour un équipement Check Point, un objet Check Point de type Externally Managed VPN Gateway mais ceci peut être gênant lorsque cette VPN est dans une version plus récente que celle de notre SmartCenter. Dans le cas d'un Interoperable Devices, il faut :

  1. Donner un nom et l'adresse IP externe de la VPN (celle connue de nous).
  2. Dans la partie Topology, renseigner une interface (bidon) avec l'adresse IP précédemment utilisée.
  3. Toujours dans cette partie Topology, il faut définir le VPN Domain. Il faut définir ici les adresses qui sont protégées par VPN B et donc pour lesquelles VPN A enverra les flux dans le tunnel. Généralement on privilégie l'option Manually defined car elle permet d'indiquer précisément les adresses.
  4. Dans la partie VPN, ajouter la communauté Zamiz en cliquant sur Add…
  5. Dans Matching Criteria…, choisir l'autorité de certification (AC) dont doit être issu le certificat présenté par VPN B lors de l'établissement du tunnel. Et pour vous assurer que c'est bien VPN B, il est conseillé de renseigner le DN du certificat qui doit normalement être présenté par cette VPN. Le DN peut se présenter sous la forme :
    CN=VPN2,OU=VPN-01,O=BIDULE

    Ainsi si ce n'est pas le bon certificat qui est présenté, le tunnel ne pourra pas être monté.

Flux à ouvrir pour le tunnel

Les deux règles suivantes permettent l'établissement du tunnel VPN IPSec

VPN A > VPN B : UDP/500 (IKE)
VPN B > VPN A : UDP/500 (IKE)

Attention : la création de ces règles ne suffit pas et il faut penser à exclure le port UDP/500 de la communauté VPN. Sans quoi vous vous retrouverez très certainement avec le flux IKE droppé avec le message suivant :

encryption failure: Clear texte packet should be encrypted

Flux tunnelisés

Check Point recommande d'utiliser des politiques de sécurité utilisant le mode simplifié. Dans ce mode, si nous avons une machine C (protégée par VPN A) qui veut faire un flux HTTP sur une machine D (protégée par VPN B), il suffit dans un premier temps d'écrire une règle classique

C > D : TCP/80

et d'ajouter dans la colone VPN de cette règle la communauté Zamiz.

checkpoint/vpn-1/vpn-s2s.1186562217.txt.gz · Dernière modification : (modification externe)