Configuration d'un tunnel au sein d'un réseau non autorisé

Langue :

Cette procédure permet de configurer un tunnel IPsec au sein d'un réseau public entre deux systèmes de passerelle VPN Trusted Extensions. L'exemple utilisé dans cette procédure est basé sur la configuration illustrée dans la section Description de la topologie réseau requise par les tâches IPsec afin de protéger un VPN du manuel Sécurisation du réseau dans Oracle Solaris 11.2 .

L'illustration présuppose les modifications suivantes :

Les 10 sous-réseaux sont des réseaux de confiance multiniveau. Les étiquettes de sécurité de l'option IP CALIPSO ou CIPSO sont visibles sur ces LAN.
Les sous-réseaux 192.168 sont des réseaux non sécurisés à étiquette unique fonctionnant sous l'étiquette PUBLIC. Ces réseaux ne prennent pas en charge les options IP CALIPSO ou CIPSO.
Le trafic étiqueté entre euro-vpn et calif-vpn est protégé contre les modifications non autorisées.

Avant de commencer

Vous êtes dans le rôle root dans la zone globale.

Suivez les procédures décrites dans la section Etiquetage d'hôtes et de réseaux pour définir ce qui suit :
1. Ajoutez les adresses IP 10.0.0.0/8 à un modèle de sécurité étiqueté.
  Utilisez un modèle avec un type d'hôte cipso. Conservez la plage d'étiquettes par défaut, ADMIN_LOW à ADMIN_HIGH.
2. Ajoutez les adresses IP 192.168.0.0/16 à un modèle de sécurité sans étiquette sous l'étiquette PUBLIC.
  Utilisez un modèle à l'aide d'un type d'hôte sans étiquette. Définissez l'étiquette par défaut sur PUBLIC. Conservez la plage d'étiquettes par défaut, ADMIN_LOW à ADMIN_HIGH.
3. Ajoutez les adresses Internet Calif-vpn et Euro-vpn, 192.168.13.213 et 192.168.116.16 à un modèle cipso.
  Conservez la plage d'étiquettes par défaut.
Créez un tunnel IPsec.
Suivez la procédure décrite dans la section Protection de la connexion entre deux réseaux locaux à l’aide d’IPsec en mode Tunnel du manuel Sécurisation du réseau dans Oracle Solaris 11.2 . Utilisez IKE pour la gestion des clés, comme décrit dans l'étape suivante.

Ajoutez des étiquettes à des négociations IKE.

Suivez la procédure décrite dans la section Configuration d’IKEv2 avec des clés prépartagées du manuel Sécurisation du réseau dans Oracle Solaris 11.2 , puis modifiez le fichier ike/config comme suit :

Ajoutez les mots-clés label_aware, multi_label et wire_label none PUBLIC dans le fichier etc/inet/ike/config du système euro-vpn.

Le fichier qui en résulte se présente comme indiqué ci-dessous. Les éléments ajoutés à l'étiquette sont mis en surbrillance.

        ### ike/config file on euro-vpn, 192.168.116.16
## Global parameters
#
## Use IKE to exchange security labels.
label_aware
#
## Defaults that individual rules can override.
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
#
## The rule to communicate with calif-vpn
# Label must be unique
{ label "eurovpn-califvpn"
local_addr 192.168.116.16
remote_addr 192.168.13.213
multi_label
wire_label none PUBLIC
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}

Ajoutez les mêmes mots-clés au fichier ike/config sur le système calif-vpn.

	### ike/config file on calif-vpn, 192.168.13.213
## Global Parameters
#
## Use IKE to exchange security labels.
label_aware
#
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
## The rule to communicate with euro-vpn
# Label must be unique
{ label "califvpn-eurovpn"
local_addr 192.168.13.213
remote_addr 192.168.116.16
multi_label
wire_label none PUBLIC
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}

Remarque - Vous pouvez également ajouter des étiquettes aux systèmes protégés par des certificats. Modifiez les fichiers ike/config de façon similaire lorsque vous effectuez les étapes de la procédure décrite dans la section Configuration d’IKEv2 avec des certificats à clé publique du manuel Sécurisation du réseau dans Oracle Solaris 11.2 .