Configurer les sites avec des connexions IPsec

Configurer les Sites avec des Connexions IPsec

Vous pouvez utiliser des tunnels IPsec pour connecter des sites et les réseaux internes au Cloud de Cato et aux réseaux distants. En général, les sites avec des connexions IPsec sont utilisés pour :

  • Sites qui sont dans un cloud public tel que AWS et Azure
  • Sites pour les bureaux qui utilisent un pare-feu tiers

Le Cloud de Cato prend en charge les connexions IPsec pour IKEv1 et IKEv2. Nous vous recommandons d'utiliser IKEv2, cependant, certaines technologies ne supportent que IKEv1.

Pour les appareils Cisco ASA, il existe une incompatibilité connue avec les Sites Cato IKEv2, voir Configurer des Sites IPsec IKEv2.

Pour le trafic FTP, Cato recommande de configurer le serveur FTP avec un délai d'attente de connexion de 30 secondes ou plus.

Sélectionner par défaut le Type de Connexion IPsec IKEv1

Le type de connexion IPsec IKEv1 est initié par Cato. Le Cloud de Cato est responsable de la création de la connexion IPsec vers le site. Si la connexion est interrompue, le Cato Cloud tente de la rétablir

Configurer la Plage native

Le range natif pour un site est l'adresse IPv4 (et CIDR) pour le réseau LAN principal qui se trouve derrière le pare-feu ou l'appareil routeur.

Vous pouvez configurer les paramètres de plage native dans Réseau > <site> > Paramètres du site > Réseaux. Vous pouvez également utiliser cette section pour configurer des ranges de réseaux supplémentaires pour le site.

Configurer les Tunnels VPN

Les sites IPsec supportent un tunnel VPN principal et un secondaire optionnel. Vous pouvez configurer chaque tunnel pour se connecter à un PoP différent afin de fournir une résilience. Cependant, contrairement aux Sockets Cato, les connexions IPsec ne se connectent pas automatiquement à différents PoP s'il y a un problème. Elles ne peuvent se connecter qu'à l'adresse IP de destination qui est configurée pour chaque tunnel.

Remarque

IMPORTANT: 

  • Nous vous recommandons fortement de configurer un tunnel secondaire (avec différentes IP publiques Cato) pour une haute disponibilité. Sinon, il existe un risque que le site puisse perdre la connectivité avec le Cloud de Cato.
  • Cato effectue une maintenance périodique sur ses PoPs, ce qui peut entraîner l'indisponibilité des PoPs du tunnel VPN principal et secondaire pendant la même fenêtre de maintenance. Pour éviter ce risque et assurer la résilience, veuillez contacter Support pour vous aider à vérifier que les tunnels des sites utilisent des PoPs avec des calendriers de maintenance séparés.

Pour les sites qui utilisent IKEv1, il existe des types de service préconfigurés pour AWS et Azure.

  • IP Cato (Sortie) pour les tunnels Principal et Secondaire - Les adresses IP source sont les adresses IP des PoPs qui initient le tunnel IPsec. Sélectionner par défaut l'adresse IP disponible pour le PoP. Si vous avez besoin de plus d'adresses IP, utilisez l'option Paramètres d'allocation d'adresses IP pour définir d'autres adresses IP.
  • Adresse IP du site pour les tunnels Principal et Secondaire - Les adresses IP pour le site qui sont utilisées pour les tunnels VPN.
  • Bande passante - Vous pouvez utiliser l'Application de gestion Cato pour contrôler la bande passante maximale en amont et en aval du Cato Cloud vers chaque site. Si vous ne souhaitez pas configurer une valeur de bande passante spécifique pour un site, nous vous recommandons d'utiliser la bande passante réelle de l'ISP ou selon votre licence Cato Networks.
  • Adresses IP privées - Les adresses IP qui sont dans le tunnel VPN et qui sont utilisées pour configurer le routage dynamique BGP pour un site.
  • Clé pré-partagée Principale et Secondaire - Les clés pré-partagées publiques (PSK) pour les tunnels VPN.

Remarque

Remarque : Vous pouvez éventuellement utiliser la même adresse IP allouée pour un ou plusieurs sites IPsec tant que l'IP du site est différente pour chaque site. Cato recommande d'utiliser des IPs allouées différentes pour chaque site.

Configurer le Routage pour IKEv1

Les sites IPsec IKEv1 ont l'option de sélectionner les options de Routage pour le tunnel VPN Phase II :

  • Implicite - Un seul tunnel est utilisé pour router tout le trafic LAN interne pour le site vers les adresses IP distantes.
  • Spécifique - Dans le champ Plages de réseau, définissez les plages IP distantes de l'autre côté du tunnel IPsec. Cela crée un maillage complet entre les plages IP locales et distantes.

Configurer les Paramètres IKEv2

Les sites IPsec IKEv2 ont ces paramètres supplémentaires que vous pouvez configurer :

  • Connexion initiée par Cato - Vous pouvez configurer qui initie la connexion du tunnel VPN, le Cato Cloud ou le pare-feu. Par défaut, cette fonctionnalité est activée afin que le Cato Cloud initie la connexion IPsec et minimise les temps d'arrêt.
  • Plages de réseau - Pour les connexions IPSec avec un côté distant qui a des AS (Associations de Sécurité) définies pour ce tunnel, dans Plages de réseau, entrez les plages IP distantes (généralement des réseaux d'autres sites) pour les AS sous ce format <étiquette : Plage IP>.

Remarque

Remarque : Nous vous recommandons fortement d'utiliser le paramètre par défaut et d'activer la fonction d'initiation de la connexion par Cato.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 4 sur 7

0 commentaire