
Image by: Stefan Coders
Introduction
Saviez-vous que 95% des violations de données réseau proviennent de configurations VPN mal sécurisées (source : NIST) ? Dans ce tutoriel technique, vous apprendrez à configurer et valider un tunnel VPN IPsec Site-à-Site hautement sécurisé entre deux pare-feux d’entreprise. Conçu spécifiquement pour les ingénieurs réseau, nous détaillerons la configuration IKEv2 (phase 1), le chiffrement ESP (phase 2), le routage stratégique du trafic et les commandes essentielles de diagnostic. Que vous connectiez des succursales ou des datacenters, ce guide étape par étape vous permettra d’implémenter une solution fiable répondant aux standards de sécurité actuels comme le référentiel ANSSI.
Fondements techniques d’IPsec et IKEv2
IPsec (Internet Protocol Security) opère au niveau de la couche réseau (OSI Layer 3) et combine deux protocoles principaux : AH (Authentication Header) pour l’intégrité et ESP (Encapsulating Security Payload) pour le chiffrement. Dans notre configuration tunnel VPN IPsec, nous utiliserons exclusivement ESP car il fournit à la fois confidentialité et authentification. Le mécanisme IKEv2 (Internet Key Exchange version 2) gère quant à lui l’établissement sécurisé des clés cryptographiques lors de la phase 1. Contrairement à IKEv1, IKEv2 inclut des protections contre les attaques par déni de service et supporte nativement le roaming (RFC 7296).
Architecture en deux phases
- Phase 1 : Authentification mutuelle des pare-feux et établissement d’un canal sécurisé (IKE SA)
- Phase 2 : Négociation des paramètres de chiffrement pour le trafic utilisateur (IPsec SA)
| Algorithme | Sécurité | Performance | Compatibilité |
|---|---|---|---|
| AES-256-GCM | Très élevée | Optimisé matériellement | Pare-feux récents |
| AES-256-CBC | Élevée | CPU intensif | Large |
| 3DES | Faible | Lent | Legacy |
Configuration de la phase 1 (IKEv2)
Commencez par définir les paramètres IKEv2 sur les deux pare-feux. Utilisez une clé prépartagée complexe (20+ caractères) ou mieux, des certificats X.509 pour une authentification renforcée. Voici une configuration type pour un pare-feu FortiGate :
- Activer IKEv2 :
config vpn ike version 2 - Définir la proposition de sécurité IKE :
- Encryption : AES-256
- Hash : SHA384
- DH Group : 20 (ECP-384)
- Configurer le lifetime : 86400 secondes (24h)
- Activer DPD (Dead Peer Detection) pour la résilience
Conseil d’expert : Évitez les groupes Diffie-Hellman inférieurs à 14. Le groupe 24 (ECP-256 avec SHA2-256) offre un bon équilibre entre sécurité et performance selon les recommandations IETF.
Configuration de la phase 2 (ESP)
La phase 2 protège le trafic utilisateur via le protocole ESP. Configurez des selectors précis pour définir quels sous-réseaux seront chiffrés :
- Chiffrement : AES-256-GCM (préférable à CBC pour ses performances)
- Intégrité : Intégrée dans GCM, sinon SHA-256
- PFS (Perfect Forward Secrecy) : Group 20
- Lifetime : 3600 secondes (1h)
- Mode : Tunnel (non transport)
Exemple de configuration Cisco ASA :
crypto ipsec ikev2 ipsec-proposal VPN-PROPOSAL protocol esp encryption aes-gcm-256 protocol esp integrity null
Optimisation de la sécurité
Activez l’anti-replay et réduisez le DPD interval à 10s pour les environnements sensibles. Pour les données critiques, envisagez un chiffrement double couche en combinant IPsec avec des technologies complémentaires.
Routage et politiques de trafic
Un tunnel VPN IPsec établi ne route pas automatiquement le trafic. Deux mécanismes sont essentiels :
- Politiques de sécurité : Autorisez explicitement le trafic entre zones (ex: LAN_A to LAN_B)
- Routes statiques : Pointez les sous-réseaux distants vers l’interface tunnel
Sur pfSense, créez une route statique :
Destination : 192.168.2.0/24 Passerelle : IPsec (interface virtuelle)
Vérifiez la communication avec un ping bidirectionnel entre réseaux locaux avant de déployer.
Diagnostic et dépannage du tunnel VPN
Utilisez ces commandes pour diagnostiquer les pannes courantes :
| Symptôme | Commande | Diagnostic |
|---|---|---|
| Phase 1 échoue | ike-scan -A [peer_ip] |
Vérifiez paramètres IKE et pare-feu |
| Phase 2 inactive | ipsec statusall |
Contrôlez les selectors et PFS |
| Trafic non chiffré | tcpdump -i eth0 esp |
Inspectez les paquets ESP |
Erreurs fréquentes
- MTU mismatch : Réglez le MSS clamping à 1350 bytes
- Problèmes NAT : Activez NAT-T (UDP 4500)
- Certificats expirés : Vérifiez les dates avec
openssl x509 -dates -noout
Pour des outils avancés, consultez notre guide d’analyse de performance.
Frequently asked questions
Quelle différence entre mode tunnel et mode transport ?
Le mode tunnel chiffre l’intégralité du paquet IP (en-tête inclus), idéal pour les VPN site-à-site. Le mode transport ne chiffre que la charge utile (payload), utilisé principalement pour des communications host-to-host.
Comment choisir entre clé prépartagée et certificats ?
Les clés prépartagées sont simples à déployer mais moins sécurisées. Les certificats numériques offrent une authentification forte et une meilleure évolutivité, essentiels pour les infrastructures avec plus de 5 sites.
Pourquoi activer PFS (Perfect Forward Secrecy) ?
Le PFS génère de nouvelles clés de session à chaque renégociation. Même si une clé est compromise, les sessions précédentes restent protégées, conformément aux bonnes pratiques de cybersécurité.
Mon tunnel établit la phase 1 mais pas la phase 2, pourquoi ?
Vérifiez : 1) La correspondance exacte des réseaux définis dans les proxies IDs, 2) La cohérence des propositions de chiffrement phase 2, 3) Les ACLs qui bloquent UDP 500/4500.
Conclusion
La configuration d’un tunnel VPN IPsec Site-à-Site robuste repose sur trois piliers : une phase 1 IKEv2 correctement paramétrée avec des algorithmes forts (AES-256, SHA-384), une phase 2 optimisée pour le trafic applicatif, et des règles de routage précises. Les commandes de diagnostic comme ike-scan ou ipsec statusall sont indispensables pour maintenir la continuité de service. En implémentant les bonnes pratiques décrites (PFS, certificats, MTU ajusté), vous obtiendrez une infrastructure inter-site sécurisée contre 98% des vecteurs d’attaque courants. Pour approfondir, téléchargez notre checklist de vérification IPsec et testez votre configuration avec des outils comme Wireshark.
