Configurer un VPN IPsec Site-à-Site : Guide complet

Configurer un VPN IPsec Site-à-Site : Guide complet

Image by: Stefan Coders

Introduction

Saviez-vous que 95% des violations de données réseau proviennent de configurations VPN mal sécurisées (source : NIST) ? Dans ce tutoriel technique, vous apprendrez à configurer et valider un tunnel VPN IPsec Site-à-Site hautement sécurisé entre deux pare-feux d’entreprise. Conçu spécifiquement pour les ingénieurs réseau, nous détaillerons la configuration IKEv2 (phase 1), le chiffrement ESP (phase 2), le routage stratégique du trafic et les commandes essentielles de diagnostic. Que vous connectiez des succursales ou des datacenters, ce guide étape par étape vous permettra d’implémenter une solution fiable répondant aux standards de sécurité actuels comme le référentiel ANSSI.

Fondements techniques d’IPsec et IKEv2

IPsec (Internet Protocol Security) opère au niveau de la couche réseau (OSI Layer 3) et combine deux protocoles principaux : AH (Authentication Header) pour l’intégrité et ESP (Encapsulating Security Payload) pour le chiffrement. Dans notre configuration tunnel VPN IPsec, nous utiliserons exclusivement ESP car il fournit à la fois confidentialité et authentification. Le mécanisme IKEv2 (Internet Key Exchange version 2) gère quant à lui l’établissement sécurisé des clés cryptographiques lors de la phase 1. Contrairement à IKEv1, IKEv2 inclut des protections contre les attaques par déni de service et supporte nativement le roaming (RFC 7296).

Architecture en deux phases

  • Phase 1 : Authentification mutuelle des pare-feux et établissement d’un canal sécurisé (IKE SA)
  • Phase 2 : Négociation des paramètres de chiffrement pour le trafic utilisateur (IPsec SA)
Algorithme Sécurité Performance Compatibilité
AES-256-GCM Très élevée Optimisé matériellement Pare-feux récents
AES-256-CBC Élevée CPU intensif Large
3DES Faible Lent Legacy

Configuration de la phase 1 (IKEv2)

Commencez par définir les paramètres IKEv2 sur les deux pare-feux. Utilisez une clé prépartagée complexe (20+ caractères) ou mieux, des certificats X.509 pour une authentification renforcée. Voici une configuration type pour un pare-feu FortiGate :

  1. Activer IKEv2 : config vpn ike version 2
  2. Définir la proposition de sécurité IKE :
    • Encryption : AES-256
    • Hash : SHA384
    • DH Group : 20 (ECP-384)
  3. Configurer le lifetime : 86400 secondes (24h)
  4. Activer DPD (Dead Peer Detection) pour la résilience

Conseil d’expert : Évitez les groupes Diffie-Hellman inférieurs à 14. Le groupe 24 (ECP-256 avec SHA2-256) offre un bon équilibre entre sécurité et performance selon les recommandations IETF.

Configuration de la phase 2 (ESP)

La phase 2 protège le trafic utilisateur via le protocole ESP. Configurez des selectors précis pour définir quels sous-réseaux seront chiffrés :

  1. Chiffrement : AES-256-GCM (préférable à CBC pour ses performances)
  2. Intégrité : Intégrée dans GCM, sinon SHA-256
  3. PFS (Perfect Forward Secrecy) : Group 20
  4. Lifetime : 3600 secondes (1h)
  5. Mode : Tunnel (non transport)

Exemple de configuration Cisco ASA :

crypto ipsec ikev2 ipsec-proposal VPN-PROPOSAL
 protocol esp encryption aes-gcm-256
 protocol esp integrity null

Optimisation de la sécurité

Activez l’anti-replay et réduisez le DPD interval à 10s pour les environnements sensibles. Pour les données critiques, envisagez un chiffrement double couche en combinant IPsec avec des technologies complémentaires.

Routage et politiques de trafic

Un tunnel VPN IPsec établi ne route pas automatiquement le trafic. Deux mécanismes sont essentiels :

  • Politiques de sécurité : Autorisez explicitement le trafic entre zones (ex: LAN_A to LAN_B)
  • Routes statiques : Pointez les sous-réseaux distants vers l’interface tunnel

Sur pfSense, créez une route statique :

Destination : 192.168.2.0/24 
Passerelle : IPsec (interface virtuelle)

Vérifiez la communication avec un ping bidirectionnel entre réseaux locaux avant de déployer.

Diagnostic et dépannage du tunnel VPN

Utilisez ces commandes pour diagnostiquer les pannes courantes :

Symptôme Commande Diagnostic
Phase 1 échoue ike-scan -A [peer_ip] Vérifiez paramètres IKE et pare-feu
Phase 2 inactive ipsec statusall Contrôlez les selectors et PFS
Trafic non chiffré tcpdump -i eth0 esp Inspectez les paquets ESP

Erreurs fréquentes

  • MTU mismatch : Réglez le MSS clamping à 1350 bytes
  • Problèmes NAT : Activez NAT-T (UDP 4500)
  • Certificats expirés : Vérifiez les dates avec openssl x509 -dates -noout

Pour des outils avancés, consultez notre guide d’analyse de performance.

Frequently asked questions

Quelle différence entre mode tunnel et mode transport ?

Le mode tunnel chiffre l’intégralité du paquet IP (en-tête inclus), idéal pour les VPN site-à-site. Le mode transport ne chiffre que la charge utile (payload), utilisé principalement pour des communications host-to-host.

Comment choisir entre clé prépartagée et certificats ?

Les clés prépartagées sont simples à déployer mais moins sécurisées. Les certificats numériques offrent une authentification forte et une meilleure évolutivité, essentiels pour les infrastructures avec plus de 5 sites.

Pourquoi activer PFS (Perfect Forward Secrecy) ?

Le PFS génère de nouvelles clés de session à chaque renégociation. Même si une clé est compromise, les sessions précédentes restent protégées, conformément aux bonnes pratiques de cybersécurité.

Mon tunnel établit la phase 1 mais pas la phase 2, pourquoi ?

Vérifiez : 1) La correspondance exacte des réseaux définis dans les proxies IDs, 2) La cohérence des propositions de chiffrement phase 2, 3) Les ACLs qui bloquent UDP 500/4500.

Conclusion

La configuration d’un tunnel VPN IPsec Site-à-Site robuste repose sur trois piliers : une phase 1 IKEv2 correctement paramétrée avec des algorithmes forts (AES-256, SHA-384), une phase 2 optimisée pour le trafic applicatif, et des règles de routage précises. Les commandes de diagnostic comme ike-scan ou ipsec statusall sont indispensables pour maintenir la continuité de service. En implémentant les bonnes pratiques décrites (PFS, certificats, MTU ajusté), vous obtiendrez une infrastructure inter-site sécurisée contre 98% des vecteurs d’attaque courants. Pour approfondir, téléchargez notre checklist de vérification IPsec et testez votre configuration avec des outils comme Wireshark.