Configurer le tunnel SSL VPN de site à site

Les VPN de site à site connectent deux emplacements avec des adresses IP publiques statiques et permettent le routage du trafic entre les deux réseaux. Ceci est le plus souvent utilisé pour connecter les succursales d'une organisation à son bureau principal, afin que les utilisateurs de la succursale puissent accéder aux ressources réseau dans le bureau principal.

Avant commencer

Avant de commencer à configurer un tunnel SSL OpenVPN, vous devez disposer d'une installation DMS-SDWAN fonctionnelle avec un sous-réseau IP LAN unique pour chaque côté de votre connexion (votre réseau local doit être différent de celui du réseau distant).

Exemple de configuration

Pour l'exemple de configuration, nous utilisons deux boîtiers DMS-SDWAN pour simuler un tunnel de site à site , avec la configuration suivante:

Site Web A

Site Web A - Serveur

Nom d'hôte

fw1

IP WAN

172.10.1.1/16

IP LAN

192.168.1.1/24

Plage DHCP du réseau local

192.168.1.100-192.168.1.200

Réseau de tunnels

10.10.0.0/24




Site Web B

Site Web B - Client

Nom d'hôte

fw2

IP WAN

172.10.2.1/16

Réseau local

192.168.2.0/24

Plage DHCP du réseau local

192.168.2.100-192.168.2.200

Réseau de tunnels

10.10.0.0/24




Diagramme de réseau complet comprenant le tunnel SSL VPN

Réseau de tunnels de site à site VPN SSL

Étape 1 - Ajouter un serveur SSL

L'ajout d'un nouveau serveur VPN SSL est relativement simple. Nous allons commencer par ajouter un serveur qui utilise une clé partagée. Cette configuration offre une bonne protection et elle est facile à mettre en place.

Accédez à VPN ‣ OpenVPN ‣ Serveurs et cliquez sur Ajouter dans le coin supérieur droit.

Par exemple, nous utiliserons les paramètres suivants (laissez tout le reste par défaut):

Mode serveur

Pair à Pair(clé partagée)

Protocole

UDP

Interface en mode

tun

Interface

WAN

Port local

1194

Description

Serveur VPN SSL

Clé partagée

Laissez-le activé (sélectionné) pour créer une nouvelle clé

Longueur des paramètres DH

4096

Algorithme de chiffrement

AES-256-CBC (256 bits)

Empreinte de l'Algorithme d'Authentification

SHA512 (512 bits)

Chiffrement Matériel

Pas d'accélération matérielle Crypto

Réseau de tunnels IPv4

10.10.0.0/24

Réseau local IPv4

192.168.1.0/24

Réseau distant IPv4

192.168.2.0/24

Compression

Activer avec compression adaptative

Cliquez sur Sauvegarderpour ajouter le nouveau serveur.

../../_images/sslvpn_server.png

Étape 2 - Copier la clé partagée

Pour copier la nouvelle clé partagée, cliquez sur l'icône en forme de crayon à côté du serveur VPN SSL nouvellement créé.

Vous verrez la clé partagée, copiez-la et gardez-la en sécurité!

Exemple de clé:

#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
0960c87c3aafa8f306fe270c1564380b
7922543563a17b5d2636b4ef9412dd09
9ad44974ca1b293963e0f8ac9cbdd97c
2c31bf35f0df45c9e928ccb033e6d51d
2caaec02d649ad081c68d7bc7d28030e
9182c9597a83024097bea860e52d9c66
1b9e0048fbf951ce8659bc56edb7f9a1
14f7740fc9231a3750557e02eb112712
ac4b9980d4c740ec96a4357f3940ed90
d1bbf8eed3de135c886fe2eff8e8b943
ab1f52b59def4c9ebeacc5eb48425189
c43887a6237c29e0724f5f45a0f70635
10680bec8bfb67c21bf2b4866268594c
9ba093668064f9a898e6a6ad103b401d
b2047132f0dc8db2230db38444d689fa
ddba46bf6f892ae90c59415f94b82750
-----END OpenVPN Static key V1-----

Étape 3 - Règles de pare-feu du serveur

Pour autoriser les connexions client SSL VPN, nous devons autoriser l'accès au port du serveur OpenVPN sur l'interface WAN. Lorsque vous utilisez plusieurs serveurs, nous devons ouvrir chaque port.

Pour notre configuration, nous n'utilisons qu'un seul serveur accessible sur le port UDP 1194.

../../_images/sslvpn_wan_rule.png

Ensuite, nous devons également autoriser le trafic du réseau client VPN (192.168.2.0/24). Par exemple, nous autoriserons le client à accéder à tout ce qui se trouve sur notre réseau local, cependant, vous pouvez décider d'autoriser simplement le trafic vers une ou plusieurs adresses IP.

../../_images/sslvpn_openvpn_rule.png

Vous avez terminé la configuration du site A.

Étape 4 - Client du site Web B Πε

Nous devons maintenant configurer le client. Connectez-vous au deuxième pare-feu, allez dans VPN ‣ OpenVPN ‣ Clients et cliquez sur Ajouter dans le coin supérieur droit.

Entrez maintenant ce qui suit dans le formulaire (et laissez tout le reste par défaut):

Mode serveur

Pair to Pair (clé partagée)

Protocole

UDP

Mode du dispositif

tun

Interface

WAN

Adresse de l'hôte ou du serveur

172.10.1.1

Port de serveur

1194

Description

Client VPN SSL

Clé partagée

Désactivez l'option pour coller la clé partagée

...

Collez votre clé partagée

Certificat de serveur

Certificat de serveur SSLVPN (CA: SSL VPN CA)

Longueur du paramètre DH

4096

Algorithme de chiffrement

AES-256-CBC (256 bits)

Empreinte de l'Algorithme d'Authentification

SHA512 (512 bits)

Chiffrement Matériel

Pas d'accélération matérielle Crypto

Réseau de tunnels IPv4

10.10.0.0/24

Réseau distant IPv4

192.168.1.0/24

Compression

Activé par compression adaptative

Cliquez maintenant sur Sauvegarder pour appliquer vos paramètres.

L'état de la connexion peut être visualisé dans VPN ‣ OpenVPN ‣ État de la connexion

../../_images/sslvpn_connection_status.png

Étape 5 - Règles de pare-feu client

Pour autoriser le trafic depuis le réseau distant, ajoutez simplement une règle au Pare-feu ‣ Règles ‣ OpenVPN .

../../_images/sslvpn_firewall_rule_client.png