https://doc.ycharbi.fr/index.php?action=history&feed=atom&title=Encapsulation_niveau_2_-_stormshieldEncapsulation niveau 2 - stormshield - Historique des versions2026-04-05T18:08:38ZHistorique des versions pour cette page sur le wikiMediaWiki 1.40.0https://doc.ycharbi.fr/index.php?title=Encapsulation_niveau_2_-_stormshield&diff=1361&oldid=prevYcharbi : Correction d'un titre et précision d'une source2022-03-31T09:38:49Z<p>Correction d'un titre et précision d'une source</p>
<table style="background-color: #fff; color: #202122;" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr class="diff-title" lang="fr">
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Version précédente</td>
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Version du 31 mars 2022 à 11:38</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l25">Ligne 25 :</td>
<td colspan="2" class="diff-lineno">Ligne 25 :</td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>https://doc.ycharbi.fr/fichiers/réseaux/stormshield/encapsulation_niv_2/images/1-vti.png</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>https://doc.ycharbi.fr/fichiers/réseaux/stormshield/encapsulation_niv_2/images/1-vti.png</div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>==Création <del style="font-weight: bold; text-decoration: none;">objet </del>du correspondant==</div></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>==Création <ins style="font-weight: bold; text-decoration: none;">des objets </ins>du correspondant==</div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>Afin de pouvoir configurer notre tunnel, nous allons créer les objets contenants les adresses ''IP'' de notre correspondant (''Stormshield-1'').</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>Afin de pouvoir configurer notre tunnel, nous allons créer les objets contenants les adresses ''IP'' de notre correspondant (''Stormshield-1'').</div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td></tr>
<tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l76">Ligne 76 :</td>
<td colspan="2" class="diff-lineno">Ligne 76 :</td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>* Documentation technique ''Stormshield'' :</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>* Documentation technique ''Stormshield'' :</div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>** https://documentation.stormshield.eu/SNS/v4/fr/Content/topic_PDF_download.htm</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>** https://documentation.stormshield.eu/SNS/v4/fr/Content/topic_PDF_download.htm</div></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>** https://documentation.stormshield.eu/SNS/v4/fr/Content/PDF/SNS-TechnicalNotes/sns-fr-encapsulation_niveau_2_note_technique.pdf (en cache [https://gitea.ycharbi.fr/ycharbi/Guides/src/branch/master/Documentations_constructeurs/Stormshield/SNS_UGATN/SNS_User_Guides_And_Technical_Notes/sns-fr-encapsulation_niveau_2_note_technique.pdf ici])</div></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>** <ins style="font-weight: bold; text-decoration: none;">cas n°2 : </ins>https://documentation.stormshield.eu/SNS/v4/fr/Content/PDF/SNS-TechnicalNotes/sns-fr-encapsulation_niveau_2_note_technique.pdf (en cache [https://gitea.ycharbi.fr/ycharbi/Guides/src/branch/master/Documentations_constructeurs/Stormshield/SNS_UGATN/SNS_User_Guides_And_Technical_Notes/sns-fr-encapsulation_niveau_2_note_technique.pdf ici])</div></td></tr>
</table>Ycharbihttps://doc.ycharbi.fr/index.php?title=Encapsulation_niveau_2_-_stormshield&diff=1360&oldid=prevYcharbi : Page créée avec « Category:stormshield Les équipements ''Stormshield'' permettent de réaliser une encapsulation du trafic niveau 2 le traversant. Ceci peut être utile afin d'étendre un réseau local sur un site distant. Les intérêts d'une telle solution sont multiples : * pas de nécessité de découper et router des sous réseaux (permet d'exploiter au mieux la plage d'adresse) * les domaines de diffusion partagés (gère le ''802.1Q'') permettent d'exploiter des protocole... »2022-03-30T19:32:01Z<p>Page créée avec « <a href="/index.php/Cat%C3%A9gorie:Stormshield" title="Catégorie:Stormshield">Category:stormshield</a> Les équipements ''Stormshield'' permettent de réaliser une encapsulation du trafic niveau 2 le traversant. Ceci peut être utile afin d'étendre un réseau local sur un site distant. Les intérêts d'une telle solution sont multiples : * pas de nécessité de découper et router des sous réseaux (permet d'exploiter au mieux la plage d'adresse) * les domaines de diffusion partagés (gère le ''802.1Q'') permettent d'exploiter des protocole... »</p>
<p><b>Nouvelle page</b></p><div>[[Category:stormshield]]<br />
<br />
Les équipements ''Stormshield'' permettent de réaliser une encapsulation du trafic niveau 2 le traversant. Ceci peut être utile afin d'étendre un réseau local sur un site distant. Les intérêts d'une telle solution sont multiples :<br />
* pas de nécessité de découper et router des sous réseaux (permet d'exploiter au mieux la plage d'adresse)<br />
* les domaines de diffusion partagés (gère le ''802.1Q'') permettent d'exploiter des protocoles (y compris ''multicast'' et ''IPv6'') sans l'usage de routage<br />
* aucune configuration des machines clientes n'est nécessaire (fonctionnement transparent)<br />
* le réseau physique est dissocié du réseau logique, ce qui permet une flexibilité dans sa gestion (un déménagement ou une extension n'exige pas de revoir l'interconnexion/découpage du réseau)<br />
<br />
Pour se faire, le système s'appuie sur une interface ''GRETAP'' (''Generic Routing Encapsulation TAP'') qui n'est autre qu'un tunnel ''GRE'' (RFC [https://datatracker.ietf.org/doc/html/rfc2784 2784] et [https://datatracker.ietf.org/doc/html/rfc2890 2890]) avec un champ de type de protocole passé à 0x6558 (''Transparent Ethernet Bridging'') afin de supporter la norme NVGRE (''Network Virtualization Using Generic Routing Encapsulation'' - RFC [https://datatracker.ietf.org/doc/html/rfc7637 7637]).<br />
<br />
Nous avons donc un tunnel de niveau 3 (''GRE'') encapsulant du niveau 2 (''Ethernet''). Cependant le trafic n'est pas chiffré, ce qui pose problème lors de la traversée de réseaux non maîtrisés. Pour palier ce manque, nous encapsulerons le flux ''GRE'' dans un tunnel ''IPSec'' entre des ''VTI'' (''Virtual Tunnel Interface'').<br />
<br />
=Architecture=<br />
Pour cette documentation, nous utiliserons l’architecture suivante sous [[gns3|GNS3]] avec une image ''Stormshield EVA1'' :<br />
https://doc.ycharbi.fr/fichiers/réseaux/stormshield/encapsulation_niv_2/images/GRETAP-IPSec_VTI_Stormshield.png<br />
<br />
Toutes les captures d'écrans seront réalisées depuis la machine ''Stormshield-2'' (10.10.11.14). Prenez soin d'appliquer la configuration cohérente sur ''Stormshield-1'' (10.10.11.18) pour que la communication puisse s'effectuée correctement.<br />
<br />
=Partie VPN IPSec=<br />
==Création VTI==<br />
Comme précisé en introduction, les flux seront chiffrée via un tunnel ''IPSec'' routé au travers de ''VTI''. Il nous faut donc les créer.<br />
<br />
Faites <syntaxhighlight lang="bash" inline>ajouter</syntaxhighlight> dans <syntaxhighlight lang="bash" inline>RÉSEAU > Interfaces virtuelles</syntaxhighlight> et renseignez les informations suivantes :<br />
<br />
https://doc.ycharbi.fr/fichiers/réseaux/stormshield/encapsulation_niv_2/images/1-vti.png<br />
<br />
==Création objet du correspondant==<br />
Afin de pouvoir configurer notre tunnel, nous allons créer les objets contenants les adresses ''IP'' de notre correspondant (''Stormshield-1'').<br />
<br />
Allez dans <syntaxhighlight lang="bash" inline>OBJETS > Objets réseau</syntaxhighlight> et ajoutez les deux objets "machine" suivants :<br />
<br />
https://doc.ycharbi.fr/fichiers/réseaux/stormshield/encapsulation_niv_2/images/2-objet-storm-dist.png<br />
<br />
https://doc.ycharbi.fr/fichiers/réseaux/stormshield/encapsulation_niv_2/images/3-objet-vti-dist.png<br />
<br />
==Création du tunnel IPSec==<br />
Il ne reste plus qu'à ajouter un tunnel dans <syntaxhighlight lang="bash" inline>VPN > VPN IPsec</syntaxhighlight> en exploitant les éléments abordés précédemment comme suit (j'ai pris le parti de créer un correspondant ''IKEv2'' avec l'objet ''doc_storm_dist'') :<br />
<br />
https://doc.ycharbi.fr/fichiers/réseaux/stormshield/encapsulation_niv_2/images/4-vpn-ipsec.png<br />
<br />
Le tunnel nouvellement terminé arbore les caractéristiques suivantes :<br />
<br />
https://doc.ycharbi.fr/fichiers/réseaux/stormshield/encapsulation_niv_2/images/5-vpn-ipsec-2.png<br />
<br />
À ce stade, les interfaces ''VTI'' sont joignables par les deux paires.<br />
<br />
=Règle de filtrage=<br />
Afin de ne pas voir le trafic routé au travers de notre tunnel bloqué par le pare-feu, nous désactiverons le filtrage sur celui-ci (l'établissement d'une politique de filtrage n'est pas l'objet de ce document).<br />
<br />
{{info|Il convient, dans la mesure du possible, d'adapter cette partie à votre infrastructure dans le respect des [https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Politique_pare_feu_NoteTech.pdf bonnes pratiques] d'usage. Voir également les [https://www.ssi.gouv.fr/guide/recommandations-de-securisation-dun-pare-feu-stormshield-network-security-sns/ recommandations pour une configuration sécurisée d’un pare-feu Stormshield Network Security] ainsi que les [https://www.ssi.gouv.fr/particulier/guide/recommandations-et-methodologie-pour-le-nettoyage-dune-politique-de-filtrage-reseau-dun-pare-feu/ recommandations et méthodologie pour le nettoyage d’une politique de filtrage réseau d’un pare-feu].}}<br />
<br />
Dans le cadre de cette documentation, la politique numéro 10 (<syntaxhighlight lang="bash" inline>pass all</syntaxhighlight>) est activée et le profile <syntaxhighlight lang="bash" inline>FW</syntaxhighlight> est utilisé pour l'inspection de sécurité dans le menu <syntaxhighlight lang="bash" inline>PLITIQUE DE SÉCURITÉ > Filtrage et NAT</syntaxhighlight>) :<br />
<br />
https://doc.ycharbi.fr/fichiers/réseaux/stormshield/encapsulation_niv_2/images/6-filtrage.png<br />
<br />
=Interfaces réseau=<br />
La configuration réseau comporte l'interface ''WAN'' ayant déjà servie à établir le tunnel ''IPSec'' ainsi qu'un pont réseau nouvellement créé pour contenir les clients du ''LAN'' et notre interface ''GRETAP'' (à ajouter via le bouton dédié dans la barre de menu).<br />
<br />
La capture suivante montre le résultat dans sa globalité (l'adresse ''IP'' du pont <syntaxhighlight lang="bash" inline>Pont_LAN</syntaxhighlight> ne correspond à rien et est uniquement due au fait que ''Stormshield'' ne permet pas de ne pas attribuer d'adresse à une interface...) :<br />
<br />
https://doc.ycharbi.fr/fichiers/réseaux/stormshield/encapsulation_niv_2/images/7-interfaces-globale.png<br />
<br />
L'interface ''GRETAP'' comporte les paramètres de configuration générale suivants :<br />
<br />
https://doc.ycharbi.fr/fichiers/réseaux/stormshield/encapsulation_niv_2/images/8-gretap-config.png<br />
<br />
Ainsi que de configuration avancée comme suit :<br />
<br />
https://doc.ycharbi.fr/fichiers/réseaux/stormshield/encapsulation_niv_2/images/9-gretap-config-vlan.png<br />
<br />
{{attention|Notez l'activation des cases <syntaxhighlight lang="bash" inline>Préserver le routage initial</syntaxhighlight> et <syntaxhighlight lang="bash" inline>Préserver les identifiants de VLAN</syntaxhighlight>. Il est impératif que celles-ci soient cochées afin de faire transiter les étiquettes de vos trames ''802.1Q'' via le ''GRE''. Ces cases sont également présentes sur les interfaces physiques (<syntaxhighlight lang="bash" inline>Port_2</syntaxhighlight> et <syntaxhighlight lang="bash" inline>Port_3</syntaxhighlight>) du pont <syntaxhighlight lang="bash" inline>Pont_LAN</syntaxhighlight> et '''doivent êtres également cochées''' afin que ces trames ne soient pas bloquées par le pare-feu.}}<br />
<br />
Il ne vous reste plus qu'à connecter un équipement via un tronc ''802.1Q'' sur l'un des ports du <syntaxhighlight lang="bash" inline>Pont_LAN</syntaxhighlight> pour que ses trames transitent vers le LAN clients du ''Stormshield-1''.<br />
<br />
=Sources=<br />
* Documentation technique ''Stormshield'' :<br />
** https://documentation.stormshield.eu/SNS/v4/fr/Content/topic_PDF_download.htm<br />
** https://documentation.stormshield.eu/SNS/v4/fr/Content/PDF/SNS-TechnicalNotes/sns-fr-encapsulation_niveau_2_note_technique.pdf (en cache [https://gitea.ycharbi.fr/ycharbi/Guides/src/branch/master/Documentations_constructeurs/Stormshield/SNS_UGATN/SNS_User_Guides_And_Technical_Notes/sns-fr-encapsulation_niveau_2_note_technique.pdf ici])</div>Ycharbi