Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Configuration du routage statique pour un dispositif de passerelle AWS Site-to-Site VPN client Voici quelques exemples de procédures pour configurer un périphérique de passerelle client à l'aide de son interface utilisateur (si disponible). ------ #### [ Check Point ] Voici les étapes à suivre pour configurer votre dispositif de passerelle client s'il s'agit d'un appareil Check Point Security Gateway exécutant la version R77.10 ou une version ultérieure, à l'aide du système d'exploitation Gaia et de Check Point. SmartDashboard Vous pouvez également consulter l'article VPC de [Check Point Security IPsec Gateway sur le VPC d'Amazon Web Services](https://support.checkpoint.com/results/sk/sk100726) sur le Check Point Support Center. **Pour configurer l'interface du tunnel** La première étape consiste à créer les tunnels VPN et à fournir les adresses IP privées (internes) de la passerelle client et de la passerelle réseau privé virtuel pour chaque tunnel. Pour créer le premier tunnel, utilisez les informations fournies dans la section `IPSec Tunnel #1` du fichier de configuration. Pour créer le second tunnel, utilisez les valeurs fournies dans la section `IPSec Tunnel #2` du fichier de configuration. 1. Ouvrez le portail Gaia de votre périphérique Check Point Security Gateway. 1. Sélectionnez successivement **Network Interfaces**, **Add**, **VPN tunnel**. 1. Dans la boîte de dialogue, configurez les paramètres comme suit et choisissez **OK** lorsque vous avez terminé : + Pour **VPN Tunnel ID**, entrez une valeur unique, telle que 1. + Pour **Peer**, entrez un nom unique pour votre tunnel, tel que `AWS_VPC_Tunnel_1` ou `AWS_VPC_Tunnel_2`. + Vérifiez que **Numbered (Numéroté)** est sélectionné et, pour **Local Address (Adresse locale)**, entrez l'adresse IP spécifiée pour `CGW Tunnel IP` dans le fichier de configuration (`169.254.44.234`, par exemple). + Pour **Remote Address**, entrez l'adresse IP spécifiée pour `VGW Tunnel IP` dans le fichier de configuration (`169.254.44.233`, par exemple). ![Boîte de dialogue Check Point Add VPN Tunnel](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/check-point-create-tunnel.png) 1. Connectez-vous à votre passerelle de sécurité via SSH. Si vous utilisez le shell autre que celui par défaut, choisissez clish en exécutant la commande suivante : `clish` 1. Pour tunnel 1, exécutez la commande suivante : ``` set interface vpnt1 mtu 1436 ``` Pour tunnel 2, exécutez la commande suivante : ``` set interface vpnt2 mtu 1436 ``` 1. Répétez ces étapes pour créer un second tunnel, à l'aide des informations de la section `IPSec Tunnel #2` du fichier de configuration. **Pour configurer les itinéraires statiques** Dans cette étape, spécifiez la route statique vers le sous-réseau dans le VPC de chaque tunnel pour vous permettre d'acheminer le trafic via les interfaces de tunnel. Le second tunnel permet un basculement en cas de problème avec le premier tunnel. Si un problème est détecté, la stratégie basée sur la route statique est supprimée de la table de routage et la deuxième route est activée. Vous devez également activer la passerelle Check Point pour effectuer un test ping sur l'autre extrémité du tunnel et vérifier que le tunnel est opérationnel. 1. Dans le portail Gaia, choisissez **IPv4 Static Routes**, puis **Ajouter**. 1. Spécifiez le CIDR de votre sous-réseau : par exemple, `10.28.13.0/24`. 1. Choisissez **Add Gateway**, **IP Address**. 1. Entrez l'adresse IP spécifiée pour `VGW Tunnel IP` dans le fichier de configuration (par exemple, `169.254.44.233`) et spécifiez une priorité égale à 1. 1. Sélectionnez **Ping**. 1. Répétez les étapes 3 et 4 pour le second tunnel, à l'aide de la valeur `VGW Tunnel IP` de la section `IPSec Tunnel #2` du fichier de configuration. Spécifiez une priorité égale à 2. ![Boîte de dialogue Check Point Edit Destination Route](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/check-point-static-routes.png) 1. Choisissez **Enregistrer**. Si vous utilisez un cluster, répétez les étapes précédentes pour les autres membres du cluster. **Pour définir un nouvel objet réseau** Dans cette étape, vous créez un objet réseau pour chaque tunnel VPN, en spécifiant les adresses IP publiques (externes) de la passerelle réseau privé virtuel. Par la suite, vous ajoutez ces objets réseau en tant que passerelles satellite pour votre communauté VPN. Vous devez également créer un groupe vide comme espace réservé du domaine VPN. 1. Ouvrez le point de contrôle SmartDashboard. 1. Pour **Groups**, ouvrez le menu contextuel et choisissez **Groups**, **Simple Group**. Vous pouvez utiliser le même groupe pour chaque objet réseau. 1. Pour **Network Objects**, ouvrez le menu contextuel (clic droit) et choisissez **New**, **Interoperable Device**. 1. Pour **Name (Nom)**, entrez le nom que vous avez fourni pour votre tunnel : `AWS_VPC_Tunnel_1` ou `AWS_VPC_Tunnel_2`, par exemple. 1. Pour **IPv4 Adresse**, entrez l'adresse IP externe de la passerelle privée virtuelle fournie dans le fichier de configuration, par exemple,`54.84.169.196`. Enregistrez vos paramètres et fermez la boîte de dialogue. ![Boîte de dialogue Check Point Interoperable Device](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/check-point-network-device.png) 1. Dans le volet SmartDashboard, ouvrez les propriétés de votre passerelle et dans le volet des catégories, sélectionnez **Topology**. 1. Pour récupérer la configuration de l'interface, choisissez **Get Topology**. 1. Dans la section **VPN Domain (Domaine VPN)**, choisissez **Manually defined (Défini manuellement)**, puis accédez au groupe simple vide que vous avez créé à l'étape 2 et sélectionnez-le. Choisissez **OK**. **Note** Vous pouvez conserver n'importe quel domaine VPN existant que vous avez configuré. Cependant, assurez-vous que les hôtes et les réseaux qui sont utilisés ou servis par la nouvelle connexion VPN ne sont pas déclarés dans ce domaine VPN, notamment si le domaine VPN est automatiquement dérivé. 1. Répétez ces étapes pour créer un second objet réseau, à l'aide des informations de la section `IPSec Tunnel #2` du fichier de configuration. **Note** Si vous utilisez des clusters, modifiez la topologie et définissez les interfaces comme interfaces de cluster. Utilisez les adresses IP spécifiées dans le fichier de configuration. **Pour créer et configurer la communauté VPN, l'IKE et IPsec les paramètres** Dans cette étape, vous créez une communauté VPN sur votre passerelle Check Point, à laquelle vous ajoutez les objets réseau (périphériques interopérables) de chaque tunnel. Vous configurez également l'échange de clés Internet (IKE) et IPsec les paramètres. 1. Dans les propriétés de votre passerelle, choisissez **IPSecVPN** dans le volet des catégories. 1. Choisissez **Communities**, **New**, **Star Community**. 1. Entrez un nom pour votre communauté (par exemple, `AWS_VPN_Star`), puis choisissez **Center Gateways** dans le volet des catégories. 1. Choisissez **Add**, puis ajoutez votre passerelle ou cluster à la liste des passerelles participantes. 1. Dans le volet des catégories, sélectionnez **Satellite Gateways (Passerelles satellites)**, **Add (Ajouter)**, puis ajoutez les périphériques interopérables que vous avez créés précédemment (`AWS_VPC_Tunnel_1` et `AWS_VPC_Tunnel_2`) à la liste des passerelles participantes. 1. Dans le volet des catégories, sélectionnez **Encryption**. Dans la section **Méthode de chiffrement**, sélectionnez **IKEv1 uniquement**. Dans la section **Encryption Suite**, choisissez **Custom**, **Custom Encryption**. 1. Dans la boîte de dialogue, configurez les propriétés de chiffrement comme suit, puis sélectionnez **OK** lorsque vous avez terminé : + Propriétés IKE Security Association (Phase 1) : + **Perform key exchange encryption with** : AES-128 + **Perform data integrity with** : SHA-1 + IPsec Propriétés de l'association de sécurité (phase 2) : + **Effectuez le chiffrement IPsec des données avec** : AES-128 + **Perform data integrity with** : SHA-1 1. Dans le volet des catégories, sélectionnez **Tunnel Management**. Choisissez **Set Permanent Tunnels**, **On all tunnels in the community**. Dans la section **VPN Tunnel Sharing**, choisissez **One VPN tunnel per Gateway pair**. 1. Dans le volet des catégories, développez **Advanced Settings**, puis choisissez **Shared Secret**. 1. Sélectionnez le nom d'homologue du premier tunnel, choisissez **Edit (Modifier)** et entrez la clé prépartagée comme indiqué dans la section `IPSec Tunnel #1` du fichier de configuration. 1. Sélectionnez le nom d'homologue du second tunnel, choisissez **Edit (Modifier)** et entrez la clé prépartagée comme indiqué dans la section `IPSec Tunnel #2` du fichier de configuration. ![Boîte de dialogue Check Point Interoperable Shared Secret](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/check-point-shared-secret.png) 1. Toujours dans la catégorie **Advanced Settings (Paramètres avancés)**, choisissez **Advanced VPN Properties (Propriétés de VPN avancées)**, configurez les propriétés comme suit et sélectionnez **OK** lorsque vous avez terminé : + IKE (Phase 1) : + **Use Diffie-Hellman group (Utiliser le groupe Diffie-Hellman)** : `Group 2` + **Renegotiate IKE security associations every** `480` **minutes** + IPsec (Phase 2) : + Choisissez **Use Perfect Forward Secrecy** + **Use Diffie-Hellman group (Utiliser le groupe Diffie-Hellman)** : `Group 2` + ****Renégociez les associations de IPsec sécurité toutes les secondes `3600`**** **Pour créer les règles de pare-feu** Dans cette étape, vous configurez une stratégie avec les règles de pare-feu et les règles de correspondance directionnelle qui autorisent les communications entre le VPC et le réseau local. Puis, vous installez la stratégie sur votre passerelle. 1. Dans le SmartDashboard, choisissez **Propriétés globales** pour votre passerelle. Dans le volet des catégories, développez **VPN**, puis choisissez **Advanced**. 1. Choisissez **Enable VPN Directional Match in VPN Column** et enregistrez vos modifications. 1. Dans le SmartDashboard, choisissez **Firewall**, puis créez une politique avec les règles suivantes : + Autoriser le sous-réseau VPC à communiquer avec le réseau local via les protocoles requis. + Autoriser le réseau local à communiquer avec le sous-réseau VPC via les protocoles requis. 1. Ouvrez le menu contextuel de la cellule de la colonne VPN, puis choisissez **Edit Cell**. 1. Dans la boîte de dialogue **VPN Match Conditions**, choisissez **Match traffic in this direction only**. Créez les règles de correspondance directionnelle suivantes en choisissant **Add** pour chaque règle, puis **OK** lorsque vous avez terminé : + `internal_clear` > Communauté VPN (la communauté VPN que vous avez créée plus tôt : par exemple, `AWS_VPN_Star`) + Communauté VPN > Communauté VPN + Communauté VPN > `internal_clear` 1. Dans le SmartDashboard, choisissez **Policy**, **Install**. 1. Dans la boîte de dialogue, sélectionnez votre passerelle, puis choisissez **OK** pour installer la stratégie. **Pour modifier la propriété tunnel\_keepalive\_method** Votre passerelle Check Point peut utiliser la détection d'homologue mort (DPD, Dead Peer Detection) pour savoir à quel moment une association IKE est arrêtée. Pour configurer DDP pour un tunnel permanent, le tunnel permanent doit être configuré dans la communauté AWS VPN (reportez-vous à l'étape 8). Par défaut, la propriété `tunnel_keepalive_method` pour une passerelle VPN est définie sur `tunnel_test`. Vous devez modifier la valeur sur `dpd`. Chaque passerelle VPN de la communauté VPN qui nécessite une surveillance DPD doit être configurée avec la propriété `tunnel_keepalive_method`, notamment toute passerelle VPN tierce. Vous ne pouvez pas configurer différents mécanismes de surveillance pour la même passerelle. Vous pouvez mettre à jour la `tunnel_keepalive_method` propriété à l'aide de l'DBedit outil Gui. 1. Ouvrez le point SmartDashboard de contrôle et choisissez **Security Management Server**, **Domain Management Server**. 1. Choisissez **File**, **Database Revision Control...** et créez un instantané de révision. 1. Fermez toutes les SmartConsole fenêtres, telles que le SmartDashboard SmartView Tracker et le SmartView Monitor. 1. Démarrez l'BDedit outil Gui. Pour plus d'informations, consultez l'article [Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009) sur le Centre de support Check Point. 1. Choisissez **Security Management Server**, **Domain Management Server**. 1. Dans le volet supérieur gauche, choisissez **Table**, **Network Objects**, **network\_objects**. 1. Dans le volet supérieur droit, sélectionnez l'objet **Security Gateway**, **Cluster** approprié. 1. Appuyez sur CTRL\+F, ou utilisez le menu **Search** pour rechercher ce qui suit : `tunnel_keepalive_method`. 1. Dans le volet inférieur, ouvrez le menu contextuel pour `tunnel_keepalive_method` et sélectionnez **Edit... (Éditer...)**. Choisissez **dpd**, puis **OK**. 1. Répétez les étapes 7 à 9 pour chaque passerelle faisant partie de la communauté AWS VPN. 1. Sélectionnez **File**, **Save As**. 1. Fermez l'DBedit outil Gui. 1. Ouvrez le point SmartDashboard de contrôle et choisissez **Security Management Server**, **Domain Management Server**. 1. Installez la stratégie sur l'objet **Security Gateway**, **Cluster** approprié. Pour plus d'informations, consultez l'article [Nouvelles fonction VPN dans R77.10](https://support.checkpoint.com/results/sk/sk97746) sur le Centre de support Check Point. **Pour activer la restriction TCP MSS** La restriction TCP MSS réduit la taille de segment maximale des paquets TCP afin d'éviter la fragmentation des paquets. 1. Accédez au répertoire suivant : `C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\`. 1. Ouvrez Check Point Database Tool en exécutant le fichier `GuiDBEdit.exe`. 1. Choisissez **Table**, **Global Properties**, **properties**. 1. Pour `fw_clamp_tcp_mss`, choisissez **Edit**. Remplacez la valeur par `true`, puis choisissez **OK**. **Pour vérifier l'état du tunnel** Vous pouvez vérifier l'état du tunnel en exécutant la commande suivante à partir de l'outil de ligne de commande en mode expert. ``` vpn tunnelutil ``` Dans les options qui s'affichent, choisissez **1** pour vérifier les associations IKE et **2** pour vérifier les IPsec associations. Vous pouvez aussi utiliser le journal Check Point Smart Tracker Log pour vérifier que les paquets de la connexion sont chiffrés. Par exemple, le journal suivant indique qu'un paquet adressé au VPC a été envoyé via le tunnel 1 et qu'il a été chiffré. ![Fichier journal Check Point](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/check-point-log.png) ------ #### [ SonicWALL ] La procédure suivante montre comment configurer les tunnels VPN sur l'appareil SonicWALL à l'aide de l'interface de gestion SonicOS. **Pour configurer les tunnels** 1. Ouvrez l'interface de gestion SonicOS SonicWALL. 1. Dans le volet de gauche, sélectionnez **VPN**, **Settings**. Sous **VPN Policies**, choisissez **Add...**. 1. Dans la fenêtre de stratégie VPN de l'onglet **General **, renseignez les informations suivantes : + **Type de stratégie** : Choisissez **Tunnel Interface**. + **Authentication Method** : choisissez **IKE using Preshared Secret**. + **Name** : entrez un nom pour la stratégie VPN. Nous vous recommandons d'utiliser le nom de l'ID de VPN, tel que fourni dans le fichier de configuration. + **IPsec Nom ou adresse de la passerelle principale** : entrez l'adresse IP de la passerelle privée virtuelle telle que fournie dans le fichier de configuration (par exemple,`72.21.209.193`). + **IPsec Nom ou adresse de la passerelle secondaire** : conservez la valeur par défaut. + **Shared Secret** : entrez la clé pré-partagée, telle que fournie dans le fichier de configuration, puis entrez-la à nouveau dans **Confirm Shared Secret**. + **ID IKE local** : entrez l' IPv4 adresse de la passerelle client (l'appareil SonicWall). + **ID IKE homologue** : entrez l' IPv4 adresse de la passerelle privée virtuelle. 1. Dans l'onglet **Network**, renseignez les informations suivantes : + Sous **Local Networks**, choisissez **Any address**. Nous recommandons cette option afin d'éviter des problèmes de connectivité à partir de votre réseau local. + Sous **Remote Networks**, choisissez **Choose a destination network from list**. Créez un objet d'adresse avec le CIDR de votre VPC dans AWS. 1. Dans l'onglet **Proposals (Propositions)**, renseignez les informations suivantes. + Sous **IKE (Phase 1) Proposal**, procédez comme suit : + **Exchange** : choisissez **Main Mode**. + **DH Group (Groupe DH)** : entrez une valeur pour le groupe Diffie-Hellman (par exemple, `2`). + **Encryption** : choisissez **AES-128** ou **AES-256**. + **Authentification** : Choisissez **SHA1**ou **SHA256**. + **Life Time** : entrez `28800`. + Sous **IKE (Phase 2) Proposal**, procédez comme suit : + **Protocol** : choisissez **ESP**. + **Encryption** : choisissez **AES-128** ou **AES-256**. + **Authentification** : Choisissez **SHA1**ou **SHA256**. + Cochez la case **Enable Perfect Forward Secrecy**, puis choisissez le groupe Diffie-Hellman. + **Life Time** : entrez `3600`. **Important** Si vous avez créé votre passerelle privée virtuelle avant octobre 2015, vous devez spécifier le groupe Diffie-Hellman 2, AES-128, et pour les deux phases. SHA1 1. Dans l'onglet **Advanced**, renseignez les informations suivantes : + Sélectionnez **Enable Keep Alive**. + Sélectionnez **Enable Phase2 Dead Peer Detection** et entrez les informations suivantes : + Pour **Dead Peer Detection Interval**, entrez `60` (c'est le minimum que l'appareil SonicWALL accepte). + Pour **Failure Trigger Level**, entrez `3`. + Pour **VPN Policy bound to**, sélectionnez **Interface X1**. C'est l'interface qui est généralement désignée pour les adresses IP publiques. 1. Choisissez **OK**. Sur la page **Settings**, la case **Enable** pour le tunnel doit être cochée par défaut. Un point vert indique que le tunnel fonctionne. ------