Référence pour la configuration des VPN

Lorsque vous mettez en place une VPN Connection entre votre réseau d’entreprise et le Cloud NumSpot, vous devez configurer le tunnel VPN selon les spécifications suivantes.

La procédure exacte dépend de la solution VPN que vous utilisez.

info

• Le support pour le protocole IKEv1 est End of Life. Nous recommandons fortement IKEv2.
• Un VPN IKEv1 échoue s’il y a plus d’une VPN Connection sur la même Virtual Gateway.

Pour les propositions de phase 1, les options suivantes sont supportées :

• Chiffrement 256-bit AES-CBC, avec authentification SHA2_256_128 HMAC, et groupe DH 2, 14, 16, 19 ou 21.
• Chiffrement 128-bit AES-CBC, avec authentification SHA1 HMAC ou SHA2_256_128 HMAC, et groupe DH 2 ou 14.

Pour les propositions de phase 2, les mêmes options sont supportées :

• Chiffrement 256-bit AES-CBC, avec authentification SHA2_256_128 HMAC,et PFS 2, 14, 16, 19 ou 21.
• Chiffrement 128-bit AES-CBC, avec authentification SHA1 HMAC ou SHA2_256_128 HMAC,et PFS 2 ou 14.

avertissement

Nous recommandons les options suivantes pour les deux phases : chiffrement 256-bit AES-CBC, avec authentification SHA2_256_128 HMAC, et DH groupe 16, 19 ou 21.

Le dead peer detection (DPD) doit être activé, avec les réglages suivants :

• Délai ou intervalle de 30 secondes.
• Expiration (timeout) à 90 secondes / 3 nouvelles tentatives (retries).

Comme le VPN policy-based n’est pas supporté, il faut utiliser une VTI, avec les réglages suivants :

• Sélecteurs de trafic : 0.0.0.0/0 aux deux extrémités.
• IP : telle que définie aux champs "tunnel inside address" dans le fichier XML fourni par l’API ou la Console Numspot.

L’ID local doit être l’IP de la Client Gateway et l’ID distant doit être La Public IP External IP (EIP) dans les API AWS-compliant de la Virtual Gateway.