Configuration des sites IPsec IKEv2

Cet article explique comment créer et configurer des sites utilisant le type de connexion IPsec IKEv2. Pour plus d'informations sur la création d'un nouveau site, voir Utilisation de l'application de gestion Cato pour ajouter des sites.

Aperçu des connexions IPsec IKEv2

Vous pouvez utiliser des tunnels IPsec pour connecter des sites et des réseaux internes au Cato Cloud et aux réseaux distants. Les sites avec des connexions IPsec sont utilisés pour :

  • Sites situés dans un cloud public tel que AWS ou Azure

  • Sites pour des succursales à différents endroits situés derrière un pare-feu tiers

Lors de la configuration d'un site IPsec IKEv2, vous pouvez initier la connexion en utilisant l'une des options suivantes :

  • Seulement Répondeur - Init. Pare-feu. Le dispositif du site initie la connexion avec le PoP Cato

  • Bidirectionnel – La connexion peut être initiée par votre pare-feu ou par Cato

Mode de connexion Seulement Répondeur

Le paramètre de Cato Seulement Répondeur est une solution pour les appareils de périphérie ayant une adresse IP dynamique ou situés derrière un dispositif NAT. (c.-à-d. pare-feux ou routeurs) Cette solution permet à l'appareil de périphérie à l'extrémité distante d'initier et de gérer la connexion IKEv2.

De plus, en utilisant Seulement Répondeur, vous pouvez configurer Cato pour utiliser un FQDN comme identifiant de Cato. Ce faisant, Cato génère une valeur hachée et la traduit en adresse IP et vous pouvez choisir que Cato attribue la meilleure localisation PoP pour chaque tunnel. Vous pouvez également configurer manuellement la localisation PoP pour chaque tunnel.

Par exemple, vous configurez le mode de connexion comme Seulement Répondeur et le type de destination comme FQDN. Cato génère une valeur hachée de somevalue.ipsec.dev.catonetworks.org. Cette valeur est ensuite configurée sur le site distant et agit comme le résolveur de la requête DNS qui utilise la valeur FQDN. Le PoP est automatiquement sélectionné en fonction de plusieurs paramètres, tels que la géolocalisation, le RTT, et plus encore. De plus, si vous suivez les bonnes pratiques de Cato et définissez un tunnel principal et secondaire en utilisant FQDN, Cato sélectionne automatiquement différentes localisations PoP pour une disponibilité élevée.

Sinon, certains fournisseurs de pare-feu ne supportent pas l'utilisation du FQDN, auquel cas vous pouvez sélectionner IPv4 comme type de destination. Dans ce cas, vous devez sélectionner un lieu PoP statique et si ce PoP n'est pas disponible pour une quelconque raison, le tunnel ne sera pas disponible.

Mode de connexion Bidirectionnel

En mode de connexion bidirectionnel, à la fois votre dispositif ou Cato peuvent initier et maintenir des tunnels IPsec depuis des PoPs sélectionnés vers vos sites et/ou centres de données cloud en utilisant le protocole IPsec IKEv2.

Si un tunnel n'est pas disponible, Cato n'a pas à attendre que votre dispositif initie la connexion afin que le tunnel puisse être réétabli rapidement.

Gestion de la bande passante

Vous pouvez choisir de gérer la bande passante en aval et en amont pour un site IPsec. Si vous voulez que le Cato Cloud limite votre bande passante en aval, entrez les limites requises en conséquent. Sinon, entrez les valeurs telles que définies par la vitesse de connexion réelle de votre lien ISP. Si vous ne connaissez pas la vitesse de connexion de l'ISP, configurez la bande passante en aval en accord avec la licence de ce site. Pour la bande passante en amont, le Cato Cloud ne contrôle pas le trafic en amont, et il n'est pas possible de le limiter avec une limite fixe. En revanche, le paramètre de bande passante en amont est un meilleur effort de la part du Cato Cloud.

Remarque

Remarque : Si vous entrez des valeurs amont/en aval supérieures à la vitesse de connexion réelle du lien de votre ISP, le moteur QoS du Socket est inefficace.

Pour en savoir plus sur QoS dans Cato, voir Quels sont les profils de gestion de la bande passante de Cato.

Prérequis

  • Si vous envoyez uniquement une partie de votre trafic réseau via le Cato Cloud, configurez votre équipement réseau pour inclure les adresses IP suivantes dans votre table de routage vers le Cato Cloud :

    • 10.254.254.1

    • 10.254.254.5

    • 10.254.254.253

    • 10.41.0.0/16 sauf si vous avez configuré votre propre plage d'adresses IP des utilisateurs VPN

  • For IPsec sites with bandwidth greater than 100Mbps, use only the AES 128 GCM-16 or AES 256 GCM-16 algorithms. AES CBC algorithms are only used on sites with bandwidth less than 100Mbps.

  • Les sites IPsec IKEv2 de Cato prennent en charge des longueurs de nonce jusqu'à 256 bits.

  • Pour le trafic FTP, Cato recommande de configurer le serveur FTP avec un délai d'expiration de connexion de 30 secondes ou plus.

  • Vous pouvez définir le secret partagé IPSec (PSK) jusqu'à 64 caractères.

  • For sites that connect to a Zscaler environment, an upgraded Zscaler license is required to enable encryption selection on Phase2.

Ajout du site IKEv2

Créez un nouveau site IPsec IKEv2, puis configurez-le pour les paramètres IKEv2 et attribuez les adresses IP allouées par Cato pour les tunnels principal et secondaire. Pour plus d'informations, voir Attribution d'adresses IP pour le compte.

Pour créer un nouveau site IPsec :

  1. Dans le menu de navigation, cliquez sur Network > Sites et cliquez sur Nouveau.

    Le panneau Ajouter Site s'ouvre,

  2. Configurez les paramètres pour le site :

    • Nom : Nom pour le site

    • Type : icône affichée pour le site dans la page Topologie

    • Type de connexion : Sélectionner IPsec IKEv2

    • Pays : Le pays où est situé le site.

    • État : État où se trouve le site (si applicable)

    • Licence : Sélectionnez la licence de bande passante appropriée pour le site

    • Plage native : Sous-réseau LAN pour le site IPsec

  3. Cliquez sur Sauvegarder.

Configuration des paramètres IPsec IKEv2

Après avoir créé un nouveau site utilisant IPsec IKEv2 pour se connecter au Cato Cloud, éditez le site et configurez les paramètres IPsec.

Remarque

IMPORTANT : Nous vous recommandons fortement de configurer un tunnel secondaire (avec des IPs publiques différentes de Cato) pour une haute disponibilité. Sinon, il existe un risque que le site puisse perdre la connectivité avec le Cato Cloud.

Utilisez les paramètres de Méthode de connexion pour définir si le PoP Cato ne répond qu'aux connexions du site distant, init. fw (Seulement Répondeur), ou peut aussi initier des connexions (Bidirectionnel).

Pour les sites travaillant avec des IPs dynamiques, l'application de gestion Cato génère un ID local pour le site, utilisé pour l'Identifiant d'authentification que vous sélectionnez. Utilisez l'Identifiant d'authentification requis par le dispositif tiers : FQDN, e-mail ou KEY_ID et entrez l'ID local dans les paramètres IKE de votre dispositif tiers.

En plus de l'ID local, configurez une clé pré-partagée (PSK) pour l'authentification. Vous pouvez également définir des tunnels IPsec primaires et secondaires avec BGP sur le dispositif qui fournit une haute disponibilité. Ce faisant, le Cato Cloud ajuste automatiquement les métriques de route BGP pour prioriser le tunnel principal, et s'il est déconnecté, le site passe automatiquement au tunnel secondaire.

Pour configurer les paramètres d'un site IPsec IKEv2 :

  1. Dans le menu de navigation, cliquez sur Network > Sites et sélectionnez le site.

  2. Dans le menu de navigation, cliquez sur Paramètres du site > IPsec.

  3. Développez la section Général et définissez comment le site se connecte et s'authentifie au PoP :

    1. Sélectionnez le mode de connexion pour le site :

      • Répondeur seulement – Init. Pare-feu. Le pare-feu du site initie la connexion et Cato répond

      • Bidirectionnel - Le PoP Cato répond aux négociations pour les connexions entrantes et initie les négociations sortantes.

    2. Sélectionnez l'identifiant d'authentification.

      Le mode Bidirectionnel ne prend en charge que l'IPv4 pour l'identifiant d'authentification.

      • IPv4 - utilisez l'adresse IP statique que vous avez configurée dans les sections Primaire et Secondaire pour le site

        IPv6 n'est actuellement pas pris en charge avec IPSec sur le PoP Cato.

      • FQDN, Email, KEY_ID - génère le Local ID dans un de ces formats

  4. Développez la section Primaire et configurez les paramètres suivants pour le tunnel IPsec principal :

    • Dans Type de destination, sélectionnez soit FQDN soit IPv4.

      • FQDN - Une valeur FQDN hachée générée par Cato est générée. Cette valeur est unique pour le tunnel spécifique. C'est la valeur que vous fournirez à votre pare-feu ou pair BGP.

        Lorsqu'il est sélectionné, vous devez également définir la PoP Location. Cato recommande d'utiliser Automatique pour que le meilleur PoP soit sélectionné pour vous. Si vous sélectionnez un emplacement spécifique et que vous configurez également un site secondaire, assurez-vous de sélectionner des emplacements différents.

      • IPv4 - sélectionnez une adresse IP statique à partir du menu déroulant Cato IP (Egress).

    • Dans Identifiant de site public, saisissez l'adresse IP publique du site ou l'ID local où le tunnel IPsec est initié pour le site distant.

    • Dans IPs privées :

      • Cato - saisissez le PoP Cato et l'adresse IP qui initie le tunnel IPsec

      • Site - saisissez l'adresse IP privée du pair BGP

    • Dans Largeur de bande de dernière ligne, configurez la bande passante maximale Descendante et Montante (Mbps) disponible pour le site

    • Dans PSK primaire, cliquez sur Modifier le mot de passe pour saisir le secret partagé pour le tunnel IPsec principal.

      Remarque : Vous pouvez éventuellement utiliser la même adresse IP allouée pour un ou plusieurs sites IPsec tant que l'IP du site est différente pour chaque site. Cato recommande d'utiliser des IPs différentes allouées pour chaque site.

  5. Pour les sites qui utilisent un tunnel IPsec secondaire, développez la section Secondaire et configurez les paramètres à l'étape précédente, puis cliquez sur Sauvegarder.

  6. (Optionnel) Développez la section Paramètres du message init et configurez les paramètres. Voir Paramètres d'init et d'auth ci-dessous pour les paramètres valides.

    Comme la plupart des solutions prenant en charge IKEv2 d'IPsec mettent en œuvre la négociation automatique des paramètres suivants Init et Auth, nous vous recommandons de les régler sur Automatique, à moins d'instructions spécifiques de votre fournisseur de pare-feu.

  7. (Optionnel) Développez la section Paramètres d'auth et configurez les paramètres. Voir Paramètres d'init et d'auth ci-dessous pour les paramètres valides.

  8. Développez la section Routage et définissez les options de routage pour le site :

    IPsec_IKEv2_Routage.png

    • Pour les connexions IPsec avec un côté distant ayant des SAs (Associations de sécurité) définies pour ce tunnel, dans la section Plages de réseau, entrez les plages IP locales pour les SAs dans ce format <étiquette:plage IP> et cliquez sur Ajouter.

      Les plages IP distantes pour les SAs sont configurées dans l'écran Configuration du site > Réseaux.

    • Pour permettre à Cato Cloud de tenter de manière proactive de rétablir une connexion interrompue, sans attendre de l'autre côté, sélectionnez Initier la connexion par Cato. Sinon, le pare-feu tente de rétablir la connexion.

    Remarque : Si aucune Plage de réseau n'est configurée pour le site, il est considéré comme un VPN basé sur itinéraire (implicite : 0.0.0.0 <> 0.0.0.0).

  9. Cliquez sur Sauvegarder.

    Attendez au moins 3 minutes avant d'entrer les valeurs FQDN primaires et secondaires dans votre pare-feu pour permettre la détermination des emplacements PoP optimaux pour ces paramètres.

  10. Pour afficher les détails de votre connexion et le statut du tunnel IPsec pour ce site, cliquez sur Statut de la connexion.

Paramètres d'init et d'auth

Les paramètres suivants sont disponibles lors de la définition des paramètres d'init et d'auth. Cato recommande de régler ces paramètres sur Automatique, sauf indication contraire de votre fournisseur de pare-feu.

Paramètre

Valeurs valides

Algorithme de chiffrement

  • Automatique

  • AES-CBC-128

  • AES-CBC-256

  • AES-GCM-128

  • AES-GCM-256

Pseudo aléatoire

  • Automatique

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

Algorithme d'intégrité

  • Automatique

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

Groupe Diffie-Hellman

  • 2 (1024-bit)

  • 5 (1536-bit)

  • 14 (2048-bit)

  • 15 (3072-bit)

  • 16 (4096-bit)

  • 19 (256-bit aléatoire)

  • 20 (384 bits aléatoires)

Paramètres IKEv2 par défaut pour le site

Voici la liste des valeurs par défaut pour les paramètres IKEv2 suivants. Si vous avez besoin d'une valeur personnalisée, veuillez contacter le support.

Paramètre

Valeur

Vérification keep-alive (envoie des requêtes d'information vides). Nombre de secondes après lesquelles le site ne reçoit plus de données sur le tunnel.

10 secondes

Intervalle de retransmission (en secondes).

Il n'est pas possible de configurer une valeur personnalisée pour ce paramètre.

10 secondes

Nombre maximum de retransmissions.

Il n'est pas possible de configurer une valeur personnalisée pour ce paramètre.

5 retransmissions

Intervalle de temps maximal pendant lequel le site ne reçoit aucune donnée ni réponse aux vérifications keep-alive. Après ce temps, le site démantèle le tunnel et tente de le reconstruire.

60 secondes

Intervalle de temps pendant lequel le site tente de reconstruire un tunnel qui est en panne et échoue à se relever.

toutes les 90 secondes

Durée IKE SA (phase 1 de IPsec). Vous pouvez configurer la valeur de ce paramètre en utilisant les configurations avancées pour un site.

19,800 seconds (approximately 5.5 hours)

Durée de la SA enfant (phase 2 de IPsec).

3,600 seconds (1 hour)

Envoyer un sélecteur de trafic unique pour les sites IKEv2

Lors de la création d'un SA enfant, Cato envoie plusieurs sélecteurs de trafic (TS) dans la même charge TS conformément à la RFC 7295. Certaines solutions tierces, telles que les Cisco ASA, ne prennent en charge qu'un seul TS dans chaque SA enfant. Un Cisco ASA enverra un message TS_UNACCEPTABLE en réponse à une proposition Cato de créer un SA enfant avec plusieurs TS.

Vous pouvez configurer votre compte ou un site IKEv2 IPsec spécifique pour envoyer chaque TS dans un paquet séparé afin de prendre en charge l'interopérabilité avec ces solutions tierces en activant cette configuration sous Site Configuration > Advanced Configuration.

Connexion de deux tunnels à un VPC AWS pour la haute disponibilité

Cato vous permet de connecter votre VPC AWS au Cato Cloud en utilisant BGP sur deux tunnels IPsec pour une configuration haute disponibilité (HA). Les tunnels doubles AWS sont pris en charge uniquement lorsque vous définissez deux passerelles client, et chacune représente une adresse IP publique différente de Cato. Voici les exigences :

  • Deux adresses IP publiques Cato

  • Deux passerelles client dans le même VPC et chacune est assignée à une adresse IP publique de Cato

  • Dans AWS, deux connexions site-à-site

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 2 sur 4

0 commentaire