En général, Cato recommande d'utiliser des sites IPsec IKEv2 comme une bonne pratique. Certaines améliorations avec IKEv2 sont listées ci-dessous :
-
IKEv2 améliore l'efficacité en réduisant le nombre de messages qui doivent être échangés pour configurer un tunnel VPN. Les tunnels sont configurés plus rapidement et avec moins de bande passante.
-
IKEv2 est plus fiable. Il y a un contrôle d'activité intégré dans IKEv2 pour détecter quand le tunnel se déconnecte.
-
IKEv2 protège contre les attaques DoS. Contrairement à IKEv1, un répondeur IKEv2 n'a pas à effectuer un traitement important tant que l'initiateur ne prouve pas qu'il peut recevoir des messages à son adresse IP annoncée.
-
NAT-T est intégré. NAT-T, ou NAT Traversal, est requis lorsqu'un point d'extrémité VPN se trouve derrière un routeur qui effectue NAT. Les tunnels IPsec envoient des données en utilisant l'Encapsulating Security Payload (ESP) qui n'est pas compatible avec NAT. Par conséquent, NAT-T est utilisé pour encapsuler les paquets ESP dans UDP qui peuvent ensuite être routés par NAT.
Pour plus d'informations sur les avantages de l'utilisation des sites IPsec IKEv2, consultez RFC 4306.
Ci-dessous est présentée une comparaison des configurations strongSwan pour les tunnels IKEv1 et IKEv2. strongSwan est une solution IPsec open-source pour plusieurs systèmes d'exploitation, y compris Windows et macOS.
IKEv1 |
IKEv2 |
conn cato-vpn auto=add compress=no type=tunnel keyexchange=ikev1 fragmentation=yes forceencaps=yes ike=aes256-sha1-modp1024 esp=aes256-sha1 dpdaction=clear dpddelay=300s rekey=no left=172.16.1.62 leftid=54.183.180.107 leftsubnet=172.16.1.0/24 right=45.62.177.115 rightid=45.62.177.115 rightsubnet=172.17.3.0/24 authby=secret |
conn cato-vpn auto=add compress=no type=tunnel keyexchange=ikev2 fragmentation=yes forceencaps=yes ike=aes256-sha1-modp1024 esp=aes256-sha1 dpdaction=clear dpddelay=300s rekey=no left=172.16.1.62 leftid=54.183.180.107 leftsubnet=172.16.1.0/24 right=45.62.177.115 rightid=45.62.177.115 rightsubnet=172.17.3.0/24 authby=secret |
La seule différence est un seul chiffre. Changer la valeur de keyexchange de ikev1 à ikev2 suffit pour convertir strongSwan de IKEv1 à IKEv2.
Note : Vous pouvez configurer le secret partagé IPSec (PSK) jusqu'à 64 caractères pour les sites IKEv1 et IKEv2.
Les étapes requises pour migrer d'un tunnel IKEv1 à IKEv2 sont listées ci-dessous.
Pour migrer un site d'un tunnel IKEv1 à IKEv2 :
-
Sur l'écran Réseau > Sites, sélectionnez le site que vous souhaitez passer d'IKEv1 à IKEv2.
-
Sur l'écran Réseau > Sites > [nom du site] > Configuration du site > Général, dans la liste déroulante Type de connexion, sélectionnez IPsec IKEv2. Quand vous changez le Type de connexion, le Plage native et d'autres réseaux du site sont perdus.
-
Sur l'écran Réseau > Sites > [nom du site] > Configuration du site > Réseaux, entrez la Plage native et tout autre réseau distant. Ce sont les sélecteurs de trafic distants.
-
Sur l'écran Réseau > Sites > [nom du site] > Configuration du site > IPsec, sous la section Primaire, sélectionnez le IP de Cato (sortant) et entrez l'IP du site de la passerelle VPN distante.
-
Entrez le PSK dans le champ Mot de passe sous PSK primaire.
-
Développez la section Routage, ajoutez l'option de routage pour le site sous les Plages de réseau. Ceux-ci devraient être tous des réseaux déjà configurés sur d'autres sites connectés à Cato ou à la plage VPN de Cato.
-
Cochez la case Initier la connexion par Cato pour que Cato initie la connexion VPN. Cette configuration est optionnelle mais recommandée car la passerelle VPN distante peut ne pas être configurée pour initier la connexion.
-
(Optional) Expand the Init Message Parameters section, and configure the settings. As most IPsec IKEv2-supporting solutions implement automatic negotiation of the following Init and Auth parameters, Cato recommends setting them to Automatic unless specifically instructed to by your firewall vendor.
Vous avez peut-être remarqué que les paramètres des messages Init et Auth sont presque identiques aux paramètres des phases 1 et 2 dans IKEv1, mais il existe à la fois une option de configuration d'algorithme PRF et d'intégrité dans IKEv2. La plupart des vendeurs ne prennent pas en charge différents algorithmes PRF et d'intégrité, donc en cas de doute, réglez-les sur Automatique ou assurez-vous qu'ils sont réglés sur la même valeur.
-
Cliquez sur Sauvegarder.
De nos jours, il n'y a vraiment qu'une raison de faire la fête comme si c'était 1999, ou pour être précis, 1998, lorsque IKEv1 a été défini pour la première fois par l'IETF : si au moins une partie de la connexion VPN se termine sur un appareil hérité qui ne prend en charge que IKEv1. Les principaux fournisseurs de cloud (AWS, GCP, Azure, Alibaba Cloud) prennent en charge IKEv2. Donc, sauf si vous vous connectez à un point d'extrémité de VPN plus ancien, IKEv2 devrait être votre premier choix lors de la configuration de tunnels VPN.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.