Peer-to-Peer VPN
Un VPN Peer-to-Peer (aussi appelé Site-to-Site VPN) permet de relier de manière sécurisée deux ou plusieurs sites géographiquement séparés via Internet, comme s'ils formaient un seul réseau privé — par exemple des succursales et le siège principal.
Cas d'utilisation typiques
- Mise en réseau de sites : Deux bureaux ou filiales partagent un réseau commun pour les partages de fichiers, imprimantes et applications internes.
- Accès distant aux serveurs : Accès à un serveur de fichiers ou une base de données sur l'autre site.
- Sauvegardes centralisées : Les données d'une filiale sont sauvegardées vers le site principal via le tunnel VPN.
- VoIP entre sites : Téléphonie interne entre deux bureaux sans frais via le réseau public.
Configurer le VPN
Dans le portail du routeur sous Réseau → Peer-to-Peer VPN :
- Activer la fonction Peer-to-Peer VPN et enregistrer
- Ajouter un nouveau site VPN
- Saisir et ajouter les données de connexion VPN du site distant
Chiffrement
Centro Business vers Centro Business
Lorsqu'un VPN est configuré entre deux Centro Business, le choix du chiffrement se fait automatiquement. Aucune configuration manuelle n'est nécessaire.
Centro Business vers un site VPN distant quelconque
Si le site distant n'utilise pas de Centro Business, le chiffrement doit être configuré manuellement. Les profils suivants sont disponibles (PFS est toujours recommandé) :
| Paramètre | Swisscom-IKEv2-PFS | Swisscom-IKEv2 |
|---|---|---|
| IKE Exchange Mode | Main | Main |
| Phase 1 Encr. Algs | AES-CBC-256, AES-CBC | AES-CBC-256, AES-CBC |
| Phase 1 Integrity Algs | HMAC-SHA2-256-128, HMAC-SHA1-160 | HMAC-SHA2-256-128, HMAC-SHA1-160 |
| Phase 1 DH Transforms | Curve25519, MODP-8192, ECP-384, MODP-2048 | Curve25519, MODP-8192, ECP-384, MODP-2048 |
| Phase 1 SA Lifetime | 86400 | 86400 |
| Phase 2 Encr. Algs | AES-CBC-256, AES-CBC | AES-CBC-256, AES-CBC |
| Phase 2 Integrity Algs | HMAC-SHA2-256-128, HMAC-SHA1-160 | HMAC-SHA2-256-128, HMAC-SHA1-160 |
| Phase 2 SA Lifetime | 86400 | 86400 |
| PFS | Curve25519, MODP-8192, ECP-384, MODP-2048 | Désactivé |
Optimisation des performances (NAT-T)
Pour les connexions VPN établies via un propre routeur ou pare-feu derrière le Centro Business, l'activation de NAT-T (NAT Traversal) est recommandée.
Avantages techniques :
- Augmentation du débit : La vitesse de transmission du tunnel VPN augmente.
- Accélération matérielle : NAT-T encapsule les paquets IPsec dans des paquets UDP. Cela permet au Centro Business d'accélérer les paquets côté matériel.
Condition préalable : NAT-T doit impérativement être également activé sur le site distant pour que la connexion soit établie avec succès et que les avantages de performance soient effectifs.
Limitations
- Non disponible avec contrat BNS/EC-S
- IKEv1 n'est pas pris en charge (uniquement IKEv2)
FAQ - Peer-to-Peer VPN
À quoi faut-il faire attention lors de la connexion de réseaux via VPN ?
- Si des failles de sécurité existent sur l'un des sites VPN, les tunnels VPN offrent à un attaquant la possibilité d'accéder à d'autres infrastructures (le risque de dommage augmente).
- Si le site distant n'utilise pas de routeur Centro Business, la configuration du VPN nécessite des connaissances techniques.
Qu'est-ce que PFS ?
PFS signifie « Perfect Forward Secrecy ». Il garantit que même si les clés d'un canal de communication sont compromises, les sessions passées ne peuvent pas être déchiffrées. PFS est toujours recommandé.
Pourquoi IKEv1 n'est-il plus pris en charge ?
IKEv2 offre des améliorations significatives par rapport à IKEv1 : structure de protocole simplifiée, meilleurs algorithmes de chiffrement, prise en charge MOBIKE pour les appareils mobiles et vulnérabilités corrigées. Pour des raisons de sécurité, seul IKEv2 est pris en charge.
Il manque quelque chose ? Donnez-nous votre avis !
Aidez-nous à améliorer le CB Guide. Dites-nous quels contenus vous manquent ou comment nous pouvons nous améliorer.
Envoyer un avis