Tutoriel Stormshield
Nous disposons d'une architecture site à site reliant deux filiale de l'entreprise "CosmoTech". Cette derniÚre dispose de deux sites géographiques qui sont "LONDRES" (Royaume-Uni) et le site de "LILLE" (France) et ces derniers ont tout deux, deux firewalls Stormshield Network Security (SNS).
Le site de Londres souhaite accéder à un site internet français (ex : "impots.gouv.fr") et se retrouve bloqué en raison de restrictions géographiques imposées par le site Web. Notre objectif est de mettre en place un moyen de rendre accessible ce site internet depuis le site de LONDRES, par le paramétrage d'une politique IPSec afin de router le flux en provenance du site de LONDRES dans le tunnel VPN IPSec afin qu'il sorte par l'accÚs Internet de LILLE, en France.
L'entreprise dispose de l'infrastructure suivante :
Au cours de ce tutoriel, nous allons vous présenter deux moyens de réaliser cette configuration et de la maniÚre à définir :
Le rĂ©sultat sera le mĂȘme, c'est au niveau de la crĂ©ation du tunnel IPSec et de la logique de la maintenance des rĂ©seaux Ă traverser dans le tunnel qui changera. Si aucun tunnel n'a Ă©tĂ© crĂ©Ă© entre les deux sites, dans votre cas, nous vous recommandons de suivre la mĂ©thode de crĂ©ation d'un tunnel IPSec par VTI.
Ces politiques sont à définir dans la partie CONFIGURATION > VPN > VPN IPSec > Site à Site (Gateway-Gateway).
Un tutoriel est disponible sur VemoTech.fr afin de présenter un mode opératoire destiné à la création d'un tunnel IPSec site à site
Nous devons ajouter une Phase 2 dans le tunnel IPSec, en précisant le coupe "réseau local source" (ici : réseau local "LAN-LONDON" - 10.160.80.0/24) et l'adresse IP Publique du site WEB (ici : "impots.gouv.fr" - adresse IP : "145.242.11.100").
On inversera le local / remote en fonction du firewall oĂč vous ajoutez la phase 2.
Ici, nous allons créer notre politique IPSec avec chacune de nos VTI sources distinctes :
On inversera le local / remote en fonction du firewall oĂč vous ajoutez la phase 2.
Afin de transiter notre rĂ©seau, nous devons spĂ©cifier le fait de faire passer notre site internet Impotts.gouv.fr Ă ĂȘtre encapsulĂ© dans le tunnel IPSec de niveau 3. Deux modes opĂ©ratoires sont prĂ©sentĂ©s :
Nous devons créer une rÚgle de routage pour le site de destination (impots.gouv.fr) en passant par l'interface locale VTI, puis en routant le trafic vers l'interface VTI en face.
Cette partie se réalisera uniquement sur le firewall en FRANCE, celui qui a accÚs au site Web.
Soit les critĂšres techniques suivants :
La seconde méthode bien plus fine et plus ciblée est de réaliser le routage par politique (PBR = Policy-Based Routing), qui sont des rÚgles de routage basé sur le filtrage.
L'objectif est donc de construire notre rÚgle de filtrage Internet classique (Réseau source local => Internet => Ports de destination) et de spécifier en plus dans la partie "Action", la VTI en face du site.
Vue firewall LONDRES :
Ordre de construction de la rĂšgle de filtrage :
Astuce : double cliquer sur la rĂšgle afin d'afficher la fenĂȘtre de configuration de la rĂšgle de filtrage :
Cette rĂšgle nous permettra donc d'Ă©viter de router chaque site Internet dans le routage statique et ainsi ĂȘtre plus fin sur les permissions d'accĂšs par rĂ©seau source.
Ce qui peut ĂȘtre trĂšs intĂ©ressant Ă©galement serait de router directement tout "Internet". On choisira alors la destination comportant l'objet "Internet" :
Cette rĂšgle de filtrage PBR doit se rĂ©aliser sur le firewall qui souhaite router par l'adresse IP en face uniquement (et non sur les deux) ! đ
Nous devons ensuite ajouter une rÚgle de NAT sur le Firewall de LILLE afin que le site internet "NAT" le flux en provenance du réseau local de LONDRES par son IP Publique. à noter qu'il faut impérativement activer l'option "NAT dans Tunnel IPSec" au niveau de cette rÚgle de NAT. Pour rappel, cette partie se réalisera uniquement sur le firewall en FRANCE, celui qui a accÚs au site Web.
On va créer la rÚgle de filtrage qui autorisera depuis le site, donc le réseau local de LONDRES, à accéder à la ressource qui sera nattée dans le tunnel IPSec :
Nous allons définir la politique NAT suivante :
On va créer la rÚgle de filtrage qui autorisera depuis le site, donc le réseau local de LONDRES, à accéder à la ressource qui sera nattée dans le tunnel IPSec :
Nous allons définir la politique NAT suivante :
Un point important concernant la rÚgle de NAT afin d'encapsuler le site Internet : Les accÚs de filtrage se réaliseront directement dans la politique de filtrage et non plus dans la rÚgle de NAT. On pourra laisser Any
en port source et ce sera bien par la rÚgle de filtrage que les ports de destination seront autorisés :
La différence est donc de laisser par défaut "Any", dans la colonne "Trafic original avant translation", au niveau des ports de destination.
Nous pouvons tester l'accessibilité du site internet à travers le site de Londres et nous devrions avoir accÚs à ce site à travers le tunnel IPSec.
Si vous n'avez pas forcément les moyens de tester ce cas pratique, vous pouvez suivre cette procédure avec un site internet qui affiche l'adresse IP publique, tel que "monip.org" par exemple, ce qui vous permettra de faire la différence avant et aprÚs l'application de cette procédure.
Cela est assez pratique dans le premier but de contourner les restrictions géographiques ou restrictions par adresse IP source (exemple : IP source autorisée à accéder à un site américain de streaming par exemple)