Création des tunnels

Création du lien sécurisé

La création de tunnels est possible entre deux serveurs RVP de même modèle (entre deux modules Amon ou deux modules Sphynx). La création des tunnels se fait dans l'onglet Tunnels de la fenêtre principale de l'application web.

Fenêtre principale d'ARV avec l'onglet Tunnels
Fenêtre principale d'ARV avec l'onglet Tunnels

Pour pouvoir ajouter un tunnel entre deux réseaux locaux, il faut déjà créer un lien sécurisé entre deux serveurs RVP. Commencer par sélectionner le serveur RVP 1. Puis cliquer sur le bouton Ajouter de la colonne Serveur RVP 2. Choisir ensuite le serveur RVP 2 dans le menu déroulant suivant :

Choix du concentrateur RVP pour le lien sécurisé
Choix du concentrateur RVP pour le lien sécurisé

Une fois les deux serveurs RVP sélectionnés, choisir le modèle de lien sécurisé voulu :

Choix du modèle de lien sécurisé
Choix du modèle de lien sécurisé

Puis choisir les IP et les certificats des deux serveurs RVP et la méthode d'envoi des certificats :

Choix des IP et certificats du lien sécurisé
Choix des IP et certificats du lien sécurisé

Si besoin, ajouter l'IP et/ou un certificat d'un des deux serveurs RVP.

L'IP publique est obligatoire. Elle concerne à l'interface extérieure d'Amon (eth0).

Si le routeur est en bridge, il faut spécifier l'adresse IP attribuée à eth0 dans la zone IP publique et rien dans la zone IP privée.

Si votre routeur est en NAT, dans la zone IP publique, il faut spécifier l'adresse IP extérieure du routeur et dans la zone IP privée, l'adresse IP eth0 d'Amon.

La méthode d'envoi du certificat pour la connexion choisi est celle du modèle utilisée. Il est possible de choisir une méthode différente pour chaque connexion.

Remarque

Le protocole IKEv2 ne supporte la fragmentation des paquets réseaux, ne jamais envoyer le certificat via le protocole IPsec permet de réduire la taille des paquets.

Une fois le lien sécurisé paramétré, cocher les tunnels voulus (prédéfinis dans les modèles de liens et de tunnels).

Choix des tunnels
Choix des tunnels

AttentionGestion des translations

Si un réseau local possède le même adressage sur plusieurs Amon, il ne faut pas créer de tunnel mais utiliser un tunnel existant pour effectuer une translation. ARV n'implémente pas les translations dans un tunnel. Il faudra modifier le modèle ERA.

Par exemple :

Si le réseau de l'interface eth2 est en 172.16.0.0/24 dans tous les établissements. Il sera impossible coté Sphynx d'établir des routes pour le même sous réseau vers plusieurs Amon. Il faudra donc translater ce réseau depuis l'Amon vers un tunnel existant.

On considère que le réseau eth1 (admin) est unique pour chaque Amon.

Il faut ensuite créer dans la zone exterieur les sous réseaux correspondant à l'intranet académique.

Les directives à ajouter dans ERA seront de ce type :

Il faudra ajouter autant de fois ces 2 directives que de réseaux de destination.

Ajout/Suppression d'un tunnel ou suppression de lien sécurisé

Pour supprimer ou modifier (ajout/suppression de tunnels) un lien sécurisé entre deux serveurs RVP, sélectionner le serveur RVP 1 et le serveur RVP 2 et cliquer sur Modifier dans la colonne Serveur RVP 2 puis :

  • Modification (ajout/suppression de tunnels) : Sélectionner le lien sécurisé à modifier et cliquer sur Modifier, cliquer sur Suivant et sélectionner ou désélectionner le/les tunnel(s).
  • Suppression : Sélectionner le lien sécurisé à supprimer et cliquer sur Supprimer.