Configuration des sites IPsec IKEv2

Cet article explique comment créer et configurer des sites qui utilisent le type de connexion IPsec IKEv2. Pour en savoir plus sur la création d'un nouveau site, voir Utilisation de l'application de gestion Cato pour ajouter des sites.

Note : Dans le cadre des améliorations récentes introduisant plusieurs tunnels actifs pour les sites IPsec, les clients peuvent recevoir des événements de déconnexion et de reconnexion faussement positifs, accompagnés de notifications associées. Il s'agit d'une occurrence unique lors du Processus de mise à jour, et ces Événements et Notifications peuvent être ignorés en toute sécurité. Notez que les Événements et les Notifications peuvent inclure des horodatages incorrects et ne reflètent pas une interruption réelle du service. Les tunnels IPsec restent entièrement opérationnels pendant ce processus.

Vue d'ensemble

Vous pouvez utiliser les tunnels IPsec pour connecter les sites et les réseaux internes au Cato Cloud et aux réseaux distants. Les sites avec des connexions IPsec sont utilisés pour :

  • Les sites qui se trouvent dans un cloud public, tel que AWS ou Azure
  • Sites pour les succursales dans différents emplacements se trouvant derrière un pare-feu tiers

Lors de la configuration d'un site IPsec IKEv2, vous pouvez initier la connexion en utilisant une des options suivantes :

  • Répondeur uniquement - Initialisation du Pare-feu L'appareil du site initie la connexion avec le PoP de Cato
  • Bidirectionnel – La connexion peut être initiée par votre pare-feu ou par Cato

Mode de connexion répondeur uniquement

Le réglage répondeur uniquement de l'IKEv2 de Cato est une solution pour les appareils de bord qui ont une adresse IP dynamique ou se trouvent derrière un appareil NAT. (c'est-à-dire les pare-feux ou routeurs) Cette solution permet à l'appareil de bord à l'extrémité distante d'initier et gérer la connexion IKEv2.

De plus, lors de l'utilisation de l'option répondeur uniquement, vous pouvez configurer Cato pour utiliser un Nom de domaine complet comme identifiant de Cato. En agissant ainsi, Cato génère une valeur hachée et la traduit en une adresse IP pour vous donner la meilleure localisation PoP pour chaque tunnel.

Par exemple, vous configurez le Mode de connexion sur répondeur uniquement et le Type de destination sur Nom de domaine complet. Cato génère une valeur hachée de somevalue.ipsec.dev.catonetworks.org. Cette valeur est ensuite configurée sur le site distant et sert de résolveur pour la requête DNS qui utilise la valeur de Nom de domaine complet. Le PoP est sélectionné en fonction de plusieurs paramètres, tels que la géolocalisation, le RTT, et plus encore.

Dans ce scénario, le PoP est sélectionné dynamiquement, ce qui signifie que si le PoP original désigné pour ce Nom de domaine complet est indisponible, un nouveau PoP sera automatiquement sélectionné. De plus, si vous suivez les meilleures pratiques de Cato et définissez un tunnel principal et secondaire lors de l'utilisation du Nom de domaine complet, Cato sélectionne automatiquement des emplacements PoP différents pour un HA idéal.

En alternative, certains fournisseurs de pare-feux ne supportent pas l'utilisation du Nom de domaine complet, auquel cas vous pouvez sélectionner IPv4 comme Type de destination. Dans ce cas, vous devez sélectionner un emplacement PoP statique, et si ce PoP n'est pas disponible pour une quelconque raison, le tunnel ne sera pas disponible. Pour plus d'informations sur la définition des adresses IP statiques, consultez Politique d'allocation IP pour les utilisateurs distants.

Mode de connexion bidirectionnel

En mode connexion bidirectionnelle, votre appareil ou Cato peut initier et maintenir les tunnels IPsec à partir des PoPs sélectionnés vers vos sites et/ou centres de données cloud en utilisant le protocole IPsec IKEv2.

Si un tunnel est indisponible, Cato n'a pas besoin d'attendre que votre appareil initie la connexion pour que le tunnel puisse être rétabli rapidement.

Sites IPsec avec plusieurs tunnels actifs

Cato vous permet de configurer plusieurs tunnels actifs pour les rôles HA principal et secondaire. Plusieurs tunnels actifs vous permettent de faire ce qui suit :

  • Exploitez le dernier kilomètre - Avec plusieurs tunnels actifs, vous pouvez distribuer le trafic réseau sur différents chemins, aidant à équilibrer la charge et améliorer la performance réseau.
  • Redondance - Les multiples tunnels actifs offrent une redondance. Si un tunnel échoue, le trafic peut être redirigé par un autre tunnel actif, assurant une connectivité ininterrompue.
  • Intégration tiers - Intégration avec des CPEs SD-WAN tiers pour des services SSE.
  • Séparation du trafic - Différents tunnels peuvent être utilisés pour séparer différents types de trafic. Par exemple, un tunnel pourrait être utilisé pour le trafic vocal, tandis qu'un autre pourrait être utilisé pour le trafic de données.
ipsec-active-active.png

Vous pouvez configurer jusqu'à 3 tunnels actifs pour chaque rôle HA, qui sont connectés au même PoP de Cato. Cela signifie que tous les tunnels principaux sont connectés à un PoP, et tous les tunnels secondaires sont connectés à un autre PoP. Chaque tunnel doit avoir un identifiant unique, par exemple, un ID local tel qu'un Nom de domaine complet ou une adresse IP publique.

HA pour plusieurs tunnels actifs

Par défaut, lorsque tous les tunnels actifs d'un rôle HA tombent, Cato revient automatiquement à l'autre rôle HA. Cela signifie que si tous les tunnels du rôle HA principal tombent, le HA est déclenché, et Cato utilise les tunnels secondaires comme prochaine étape de toutes les routes du site. Cependant, si le rôle HA principal a 2 tunnels, et qu'un tunnel reste actif, un basculement ne se produit pas.

Vous pouvez surveiller les tunnels via les récits de lien coupé dans le Workbench des Histoires.

Note : Il faut jusqu'à 30 secondes pour que Cato détermine qu'un tunnel est tombé.

Gestion de la bande passante

Vous pouvez choisir de gérer la bande passante en amont et en aval pour un site IPsec. Si vous voulez que le Cato Cloud limite votre bande passante en aval, entrez les limites requises en conséquence. Sinon, entrez les valeurs définies par la vitesse de connexion réelle de votre lien ISP. Si vous ne connaissez pas la vitesse de connexion ISP, configurez la bande passante en aval selon la licence de ce site. Pour la bande passante en amont, le Cato Cloud ne contrôle pas le trafic en amont et il n'est pas possible de le limiter de manière stricte. Au lieu de cela, le paramètre de bande passante en amont est un meilleur effort du Cloud Cato.

Note : Si vous entrez des valeurs d'amont/aval supérieures à la vitesse de connexion réelle de votre lien ISP, le moteur de QoS de la Socket est inefficace.

Pour plus d'informations sur QoS dans Cato, voir Quels sont les profils de gestion de la bande passante de Cato.

Pour le QoS pour plusieurs tunnels actifs, voir ci-dessous Routage QoS pour plusieurs tunnels actifs.

Prérequis

  • Si vous envoyez seulement une partie de votre trafic réseau au Cato Cloud, configurez votre équipement réseau pour inclure les adresses IP suivantes dans votre table de routage vers le Cato Cloud :

    • 10.254.254.1
    • 10.254.254.5
    • 10.254.254.253
    • 10.41.0.0/16 sauf si vous avez configuré votre propre plage d'adresses IP des Utilisateurs VPN sur le réseau

  • Pour les sites IPsec avec une bande passante de 100Mbps ou plus, utilisez uniquement les algorithmes AES 128 GCM-16 ou AES 256 GCM-16. Les algorithmes AES CBC sont uniquement utilisés sur des sites avec une bande passante inférieure à 100Mbps.

    Ces directives sont dues au fait que le chiffrement GCM est plus efficace et évolutif que CBC, permettant une meilleure performance et fiabilité pour le trafic chiffré à haut débit dans le Cato Cloud.

  • Les sites IKEv2 IPsec de Cato prennent en charge une longueur de nonce jusqu'à 256 bits.
  • Pour le trafic FTP, Cato recommande de configurer le serveur FTP avec un délai d'expiration de connexion de 30 secondes ou plus.
  • Vous pouvez définir le secret partagé IPSec (PSK) jusqu'à 64 caractères.
  • Pour les sites qui se connectent à un environnement Zscaler, une licence Zscaler mise à niveau est requise pour activer la sélection de chiffrement sur la Phase 2.

Ajout du site IKEv2

Créez un nouveau site IPsec IKEv2, puis configurez-le pour les paramètres IKEv2 et assignez les adresses IP allouées par Cato pour les tunnels principal et secondaire. Pour plus d'informations, voir Allocation des adresses IP pour le compte.

Pour créer un nouveau site IPsec :

  1. Dans le menu de navigation, cliquez sur Network > Sites et cliquez sur Nouveau.

    Le panneau Ajouter Site s'ouvre,

  2. Configurez les paramètres pour le site :

    • Nom : Nom du site
    • Type : icône affichée pour le site dans la page de topologie
    • Type de connexion : Sélectionnez IPsec IKEv2
    • Pays : Le pays dans lequel le site est situé.
    • État/Province : État où le site est situé (le cas échéant)
    • Licence : Sélectionnez la licence de bande passante appropriée pour le site
    • Plage native : sous-réseau LAN pour le site IPSec
  3. Cliquez sur New.

Configuration des paramètres IPsec IKEv2

Après avoir créé un nouveau site utilisant IPsec IKEv2 pour se connecter au Cato Cloud, éditez le site et configurez les paramètres IPsec.

Remarque

IMPORTANT : Nous vous recommandons fortement de configurer un tunnel secondaire (avec des IPs publiques différentes de Cato) pour une haute disponibilité. Sinon, il existe un risque que le site puisse perdre la connectivité avec le Cato Cloud.

Utilisez les paramètres de Méthode de connexion pour définir si le PoP Cato ne répond qu'aux connexions du site distant, init. fw (Seulement Répondeur), ou peut aussi initier des connexions (Bidirectionnel).

Pour les sites travaillant avec des IPs dynamiques, l'application de gestion Cato génère un ID local pour le site, utilisé pour l'Identifiant d'authentification que vous sélectionnez. Utilisez l' Identifiant d'Authentification requis par le dispositif tiers : FQDN, email, ou KEY_ID, et entrez l'ID Local dans les paramètres IKE de votre dispositif tiers.

En plus de l'ID local, configurez une clé pré-partagée (PSK) pour l'authentification. Vous pouvez également définir des tunnels IPsec primaires et secondaires avec BGP sur le dispositif, ce qui fournit une haute disponibilité. Ce faisant, le Cato Cloud ajuste automatiquement les métriques de route BGP pour prioriser le tunnel principal, et s'il est déconnecté, le site passe automatiquement au tunnel secondaire.

Pour configurer les paramètres d'un site IPsec IKEv2 :

  1. Dans le menu de navigation, cliquez sur Réseau > Sites et sélectionnez le site.
  2. Dans le menu de navigation, cliquez sur Paramètres du site > IPsec.

  3. Développez la section Général et définissez comment le site se connecte et s'authentifie au PoP :

    1. Sélectionnez le mode de connexion pour le site :

      • Répondeur uniquement – Init. pare-feu. Le pare-feu du site initie la connexion, et Cato répond
      • Bidirectionnel - Le PoP Cato répond aux négociations pour les connexions entrantes et initie les négociations sortantes.

    2. Sélectionnez l'identifiant d'authentification.

      • IPv4 - utilisez l'adresse IP statique que vous avez configurée dans les sections Primaire et Secondaire pour le site

        IPv6 n'est actuellement pas pris en charge avec IPSec sur le PoP Cato.

      • FQDN, Email, KEY_ID - génère l'ID local dans l'un de ces formats

  4. Développez la section Primaire et configurez les paramètres suivants pour le tunnel IPsec principal :

    • Dans Type de destination, sélectionnez soit FQDN soit IPv4. La destination doit être la même pour tous les tunnels actifs pour le rôle HA (Principal ou Secondaire).

      • FQDN - Une valeur FQDN hachée générée par Cato est générée. Cette valeur est unique pour le tunnel spécifique. C'est la valeur que vous fournirez à votre pare-feu.

        Lorsqu'il est sélectionné, vous devez également définir la PoP Location. Cato recommande d'utiliser Automatique pour que le meilleur PoP soit sélectionné pour vous. Si vous sélectionnez un emplacement spécifique et que vous configurez également un site secondaire, assurez-vous de sélectionner des emplacements différents.

      • IPv4 - sélectionnez une adresse IP statique dans le menu déroulant IP Cato (Sortie).

  5. Cliquez sur Nouveau. La page Ajouter un Tunnel apparaît.

    1. Sous Rôle, sélectionnez quelle des interfaces WAN logiques utiliser pour ce tunnel. Le rôle WAN est utilisé pour le routage basé sur la priorité dans la politique Règles du Réseau.
    2. Sous Nom, entrez un nom descriptif
    3. Sous IP publique, entrez l'adresse IP publique pour ce tunnel. Chaque tunnel doit utiliser une adresse IP publique différente

    4. Pour les sites utilisant BGP, configurez les IPs Privées :

      • Cato - entrez le PoP Cato et l'adresse IP qui initie le tunnel IPsec
      • Site - entrez l'adresse IP privée du pair BGP
    5. Dans Bande passante du dernier kilomètre, configurer la bande passante maximum Descendant et Amont (Mbps) disponible pour le site
    6. Dans PSK, cliquez sur Modifier le mot de passe pour entrer le secret partagé pour le tunnel IPsec principal.

  6. Cliquez sur Appliquer. Le tunnel est ajouté à la table principale.

    primary-ipsec-tunnel.png
  7. Pour les sites qui utilisent un tunnel IPsec secondaire, développez la section Secondaire et configurez les paramètres à l'étape précédente, puis cliquez sur Enregistrer.
  8. Pour les sites qui utilisent des tunnels actifs/actifs multiples, répétez les étapes 5 à 7.

  9. (Optionnel) Développez la section Paramètres du message d'initiation et configurez les paramètres. Voir Paramètres Initiaux et d'Auth ci-dessous pour des paramètres valides.

    Comme la plupart des solutions prenant en charge IPsec IKEv2 implémentent la négociation automatique des paramètres Init et Auth suivants, nous recommandons de les régler sur Automatique, sauf si instruction contraire par votre fournisseur de pare-feu.

  10. (Optionnel) Développez la section Paramètres Auth et configurez les paramètres. Voir Paramètres Init et Auth ci-dessous pour les paramètres valides.

  11. Développez la section Routage et définissez les options de routage pour le site :

    IPsec_IKEv2_Routage.png
    • Pour les connexions IPsec avec un côté distant qui a des SAs (Associations de sécurité) définies pour ce tunnel, dans Plages de réseau, entrez les plages IP distantes (typiquement des réseaux d'autres sites) pour les SAs dans ce format <étiquette : plage IP> et cliquez sur Ajouter.

    • Les plages d'IP locales pour les SA sont configurées dans la page Configuration du Site > Réseaux en incluant les Sélecteurs de Trafic Local et les Sélecteurs de Trafic Pairs.

      ipsec_ikev2_native.png
      Vérifiez que les réseaux locaux correspondent à ce que vous avez défini pour le pair IPsec.

    • Pour permettre à Cato Cloud de tenter de manière proactive de rétablir une connexion interrompue, sans attendre de l'autre côté, sélectionnez Initier la connexion par Cato. Sinon, le pare-feu tente de rétablir la connexion.

      Remarque : Si aucune Plage de réseau n'est configurée pour le site, il est considéré comme un VPN basé sur itinéraire (implicite : 0.0.0.0 <> 0.0.0.0).

  12. Cliquez sur Enregistrer.

    Attendez au moins 3 minutes avant d'entrer les valeurs FQDN primaires et secondaires dans votre pare-feu pour permettre la détermination des emplacements PoP optimaux pour ces paramètres.

  13. Pour afficher les détails de votre connexion et le statut du tunnel IPsec pour ce site, cliquez sur Statut de la connexion.

Routage QoS pour les tunnels actifs multiples

Par défaut, Cato ne peut contrôler que le trafic descendant. Le trafic est distribué à travers les tunnels (liens WAN) en fonction des métriques de santé, de la préférence de lien, et du ratio proportionnel des bandes passantes configurées pour chaque lien. Les métriques de santé sont recalculées chaque seconde, et le trafic est redistribué vers le lien le plus performant toutes les 10 secondes.

Le trafic montant est contrôlé par le pair distant IPsec, et selon le routage basé sur les politiques que le pair utilise.

Vous pouvez remplacer la sélection de lien WAN pour le trafic descendant en utilisant les Règles Réseau. Vous pouvez configurer une règle pour déterminer quel lien WAN est utilisé pour des tuples de trafic spécifiques, auquel cas, le trafic sera envoyé sur le lien WAN configuré dans la règle, et non sur le tunnel par lequel il est arrivé.

active-active-rule.png

Paramètres Init et Auth

Les paramètres suivants sont disponibles lors de la définition des paramètres d'init et d'auth. Cato recommande de régler ces paramètres sur Automatique, sauf indication contraire de votre fournisseur de pare-feu.

Paramètre

Valeurs valides

Algorithme de chiffrement

  • Automatique

  • AES-CBC-128

  • AES-CBC-256

  • AES-GCM-128

  • AES-GCM-256

Aléatoire pseudo

  • Automatique

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

Algorithme d'intégrité

  • Automatique

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

Groupe Diffie-Hellman

  • 2 (1024 bits)

  • 5 (1536 bits)

  • 14 (2048 bits)

  • 15 (3072-bit)

  • 16 (4096-bit)

  • 19 (256-bit random)

  • 20 (384-bit random)

Paramètres IKEv2 par défaut pour le site

Voici la liste des valeurs par défaut pour les paramètres IKEv2 suivants. Si vous avez besoin d'une valeur personnalisée, veuillez contacter le support.

Paramètre

Valeur

Check keep-alive (envoie des demandes d'information vides). Nombre de secondes après que le site n'a pas reçu de données sur le tunnel.

10 secondes

Intervalle de retransmission (en secondes).

Il n'est pas possible de configurer une valeur personnalisée pour ce paramètre.

10 secondes

Nombre maximum de retransmissions.

Il n'est pas possible de configurer une valeur personnalisée pour ce paramètre.

5 retransmissions

Intervalle de temps maximum que le site ne reçoit aucune donnée ni réponses aux contrôles de maintien en vie. Après ce temps, le site démantèle le tunnel et tente de le reconstruire.

60 seconds

Intervalle de temps pendant lequel le site tente de reconstruire un tunnel qui est désactivé et échoue à s'activer.

toutes les 90 secondes

Durée de vie de l'IKE SA (IPsec phase 1). Vous pouvez configurer la valeur de ce paramètre en utilisant les configurations avancées pour un site.

19,800 secondes (environ 5.5 heures)

Durée de vie du Child SA (phase 2 IPsec).

3,600 secondes (1 heure)

Envoyer un seul sélecteur de trafic pour les sites IKEv2

Lors de la création d'un SA enfant, Cato envoie plusieurs sélecteurs de trafic (TS) dans la même charge TS conformément à la RFC 7295. Certaines solutions tierces, telles que les Cisco ASA, ne prennent en charge qu'un seul TS dans chaque SA enfant. Un Cisco ASA enverra un message TS_UNACCEPTABLE en réponse à une proposition Cato de créer un SA enfant avec plusieurs TS.

Vous pouvez configurer votre compte ou un site IPsec IKEv2 spécifique pour envoyer chaque TS dans un paquet séparé afin de prendre en charge l'interopérabilité avec ces solutions tierces en activant cette configuration sous Configuration du site > Configuration avancée.

Connexion de deux tunnels à un AWS VPC pour HA

Cato vous permet de connecter votre VPC AWS au Cato Cloud en utilisant BGP sur deux tunnels IPsec pour une configuration haute disponibilité (HA). Les tunnels doubles AWS sont pris en charge uniquement lorsque vous définissez deux passerelles client, et chacune représente une adresse IP publique différente de Cato. Voici les exigences :

  • Deux adresses IP publiques de Cato
  • Deux passerelles client dans le même VPC et chacune est assignée à une adresse IP publique de Cato
  • Dans AWS, deux connexions site-à-site

Limitations connues

  • Pour les comptes multi-locataires (comme les partenaires Cato), assurez-vous que chaque compte utilise des adresses IP attribuées à partir d'un emplacement PoP différent pour les tunnels IPsec. Par exemple, le compte1 utilise une IP allouée depuis le PoP de Francfort, et le compte2 devrait utiliser une IP allouée depuis l'emplacement PoP de Munich.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 3 sur 5

0 commentaire