Référence pour la configuration des VPN

Lorsque vous mettez en place une connexion VPN (Virtual Private Network) entre votre réseau d'entreprise et le Cloud Numspot, vous devez configurer le tunnel VPN selon les spécifications suivantes.

La procédure exacte dépend de la solution VPN que vous utilisez.

info

• Le support pour le protocole IKEv1 est End of Life. Nous recommandons fortement IKEv2.
• Un VPN IKEv1 échoue s'il y a plus d'une connexion VPN sur la même virtual gateway (passerelle virtuelle).

Pour les propositions de phase 1, les options suivantes sont supportées :

• Chiffrement 256-bit AES-CBC, avec authentification SHA2_256_128 HMAC, et groupe DH 2, 14, 16, 19 ou 21.
• Chiffrement 128-bit AES-CBC, avec authentification SHA1 HMAC ou SHA2_256_128 HMAC, et groupe DH 2 ou 14.

Pour les propositions de phase 2, les mêmes options sont supportées :

• Chiffrement 256-bit AES-CBC, avec authentification SHA2_256_128 HMAC, et PFS 2, 14, 16, 19 ou 21.
• Chiffrement 128-bit AES-CBC, avec authentification SHA1 HMAC ou SHA2_256_128 HMAC, et PFS 2 ou 14.

avertissement

Nous recommandons les options suivantes pour les deux phases : chiffrement 256-bit AES-CBC, avec authentification SHA2_256_128 HMAC, et DH groupe 16, 19 ou 21.

Le dead peer detection (DPD) doit être activé, avec les réglages suivants :

• Délai ou intervalle de 30 secondes.
• Expiration (timeout) à 90 secondes / 3 nouvelles tentatives (retries).

Comme le VPN policy-based n'est pas supporté, il faut utiliser une VTI (Virtual Tunnel Interface), avec les réglages suivants :

• Sélecteurs de trafic : 0.0.0.0/0 aux deux extrémités.
• IP : telle que définie aux champs "tunnel inside address" dans le fichier XML fourni par l'API ou la Console Numspot.

L'ID local doit être l'IP de la client gateway (passerelle client) et l'ID distant doit être l'IP publique (External IP ou EIP dans les API AWS-compliant) de la virtual gateway.