VPN IPsec de site-à-site sur IPfire
Nous allons ici configurer un VPN de site-à-site avec IPsec sur 2 pare-feux IPfire.
L'objectif étant de pouvoir réaliser un simple ping entre les 2 ordinateurs clients (BDX_CLIENT et PAU_CLIENT).
Schéma de l'infra
La configuration est réalisée sur des Ordinateurs Virtuels Hyper-V, mais peut bien entendue être reproduite avec n'importe quel hyperviseur.
D'abord, créer les 3 commutateurs virtuels privés :
- COM_BDX, le commutateur virtuel privé pour le réseau LAN de Bordeaux
- COM_PAU, le commutateur virtuel privé pour le réseau LAN de Pau
- COM_INTERNET, le commutateur virtuel privé simulant internet entre les parefeux de Pau et de Bordeaux.
Démarrons par la configuration de base de chaque pare-feu :
D'abord choisir le type de configuration réseau avec 2 zones : verte (LAN) et rouge (WAN)
Ensuite, assigner les cartes réseaux physiques. On commence toujours pas la RED (WAN). Etant donné que la carte WAN est placée en premier dans les paramètres de l'Ordinateur Virtuel, elle apparaît en premier sur IPfire.
Nous allons à présent configurer les adresses IP sur chaque interface. On pointe l'IP du pare-feu distant comme passerelle pour chacun des pare-feux.
Ne pas configurer de DHCP sur le LAN. Nous restons en IP fixe pour le moment.
Configuration du VPN IPsec entre les 2 IPfire
Nous allons à présent passer à la configuration du VPN IPsec entre les 2 IPfire.
Depuis les 2 clients sur chaque LAN distant, nous nous connectons à l'interface de gestion web d'IPfire (ne pas oublier le port 444 !)
Aller dans "Services" > "IPsec"
Etape 1 : Configuration initiale d'IPsec sur les deux IPfire.
Sur chaque IPfire, cocher "Activé.
Ne pas se préoccuper du "Point de terminaison client nomade" (cela sert pour les connexions nomades, pas site-à-site).
Ne pas se préoccuper non plus du "Réseau privé virtuel (VPN) de l'hôte au réseau (client nomade)".
Cliquer ensuite sur "Sauvegarde"
Etape 2 : Configuration de l'autorité de certification (CA).
IPfire IPsec supporte la connexion via des clés pré-partagées (PSK), mais aussi par certificat.
Pour une configuration simple de site-à-site, on utilisera une clé pré-partagée.
Donc nous allons ignorer cette étape pour le moment.
Etape 3 : Ajouter une connexion VPN IPsec (site-à-site).
Sur chaque IPfire, cliquez sur "Services > IPsec > Etat et contrôle de connexion > Ajouter"
Choisissez la connexion de site-à-site.
Etape 4 : La configuration réciproque des réseaux distants et le partage d'une même clé.
Suivez les captures d'écran.
Etape 5 : Configurer un démarrage/redémarrage automatique de la connexion VPN
La connexion VPN est logiquement établie rapidement.
Nous allons faire en sorte qu'elle se relance automatiquement et non uniquement à la demande.
Cliquer sur le crayon pour revenir à la configuration de la connexion, puis cliquer sur "Avancé"
Nous voyons alors apparaître les algorithmes de chiffrement utilisés par défaut.
Pas besoin de modifier quoique ce soit ici. Les choix par défaut sont bons.
Modifier simplement le démarrage de l'action à "Toujours démarré", puis sauvegardez.
Conclusion
Voilà. La connexion VPN de site-à-site avec IPsec est en place.
Si vous n'avez pas oublié de créer une règle entrante pour autoriser les ping sur vos postes clients (si c'est Windows 11), alors le ping fonctionnera immédiatement.