J’étais en train de configurer un nouveau VPN site-à-site pour un client aujourd’hui avec un TZ370. Leur fournisseur utilisait un pare-feu virtuel ASA, donc le fournisseur m’a essentiellement donné les détails du tunnel nécessaires de leur côté.
Pour être précis, les paramètres de la phase 1 IKE étaient :
Échange : Mode Principal
Groupe DH : Groupe 5
Chiffrement AES-256
Authentification : SHA1
Durée de vie : 86400
Les paramètres de la phase 2 IKE étaient :
Protocole : ESP
Chiffrement : AES256
Authentification : SHA1
La confidentialité avancée (Perfect Forward Secrecy) était ACTIVÉE, avec Groupe DH = 5 et une durée de vie de 86 400.
Le tunnel s’est connecté avec succès, mais ces paramètres sont considérablement différents de ceux que nous utilisons habituellement lorsqu’on connecte deux SonicWalls, donc je pense qu’il est temps de revoir ces paramètres.
J’ai configuré un pare-feu de laboratoire (un TZ270) sur notre Internet secondaire, et j’ai créé un tunnel vers notre pare-feu principal (un TZ500) sur notre Internet principal pour faire des essais.
Pour commencer, j’ai dupliquer les paramètres ci-dessus sur les deux pare-feu, mais le tunnel ne se connectait pas. Si je réduisais les paramètres de la phase 2 à 3DES pour le chiffrement, SHA1 pour l’authentification, et désactive la confidentialité avancée, alors le tunnel se connectait avec succès. Il a également fonctionné lorsque la confidentialité avancée était réactivée sans changer les paramètres de chiffrement.
Il y a beaucoup d’informations sur ce que signifie chaque paramètre individuel, mais très peu sur l’interaction entre ces paramètres. La plupart des documentations SonicWall disent quelque chose comme “Sélectionnez l’élément désiré”, sans explication supplémentaire. Donc, qu’est-ce qui est considéré comme des paramètres raisonnables dans l’environnement actuel ?