Étape 2 : Création d’une configuration du VPN IPSec site à site Palo Alto

Documentation Jamf Connect
Solution
Application
Jamf Connect
Content Type
Documentation technique
Utilities & Services
ft:locale
fr-FR
  1. Connectez-vous à votre appareil Palo Alto.
  2. Ouvrez l’onglet Network (Réseau) dans l’interface de gestion de l’appareil.
  3. Sélectionnez "Tunnel".
    1. Cliquez sur Add (Ajouter), en bas de la fenêtre, pour créer une nouvelle interface de tunnel.
    2. Dans l’onglet Config (Configuration), sélectionnez le routeur virtuel et la zone de sécurité à utiliser.
      Note:

      Jamf recommande de créer une nouvelle zone de sécurité pour pouvoir contrôler le trafic autorisé vers votre réseau à partir des appareils des utilisateurs finaux à un niveau granulaire. Si vous optez pour cette solution, vous devrez peut-être configurer une nouvelle règle de sécurité.

    3. Dans l’onglet IPv4, attribuez une adresse IP interne au tunnel au format CIDR.
    4. Cliquez sur OK pour créer l’interface de tunnel.
  4. Cliquez sur l’onglet Network (Réseau).
  5. Sélectionnez IKE Crypto (Chiffrement IKE) dans la section Network Profile (Profil réseau).
    1. Cliquez sur Add (Ajouter) pour créer un nouveau profil de chiffrement IKE.
    2. Saisissez un nom pour le profil, par exemple Jamf IKE Profile.
    3. Remplissez les champs en utilisant les valeurs de la phase 1 définies lors de la configuration du côté Jamf Security Cloud de l’interconnexion. Les valeurs suggérées sont les suivantes :
      • DH group (Groupe DH)Group 14 (Groupe 14)
      • Chiffrementaes-256-cbc
      • Authentificationsha256
      • Key Lifetime (Durée de vie de la clé)Seconds, 28800
      • IKE Authentication Multiple (Authentification multiple IKE)0
    4. Cliquez sur OK pour enregistrer la nouvelle configuration de chiffrement IKE.
  6. Cliquez sur l’onglet Network (Réseau).
  7. Sélectionnez IPSec Crypto (Chiffrement IPSec) dans la section Network Profile (Profil réseau).
    1. Cliquez sur Add (Ajouter) pour créer un nouveau profil de chiffrement IPSec.
    2. Saisissez un nom pour le profil, par exemple Jamf IPSec Profile.
    3. Remplissez les champs en utilisant les valeurs de la phase 1 définies lors de la configuration du côté Jamf de l’interconnexion. Les valeurs suggérées sont les suivantes :
      • IPSec Protocol (Protocole IPSec)ESP
      • Chiffrementaes-256-cbc
      • Authentificationsha256
      • DH group (Groupe DH)Group 14 (Groupe 14)
      • Durée de vieSeconds, 28800
    4. Cliquez sur OK pour enregistrer la nouvelle configuration de chiffrement IPSec.
  8. Cliquez sur l’onglet Network (Réseau).
  9. Sélectionnez IKE Gateway (Passerelle IKE) dans la section Network Profile (Profil réseau).
    1. Cliquez sur Add (Ajouter) pour créer un nouveau profil de passerelle IKE.
    2. Saisissez un nom pour la passerelle, par exemple Jamf IKE Gateway.
    3. Dans Version, sélectionnez le protocole d’échange de clés défini dans Jamf Security Cloud (en général, IKEv2 only mode).
    4. Dans Local IP Address (Adresse IP locale), sélectionnez l’adresse attribuée à l’interface publique du pare-feu.

      Cette adresse IP peut être privée ou publique, en fonction de la typologie de votre réseau.

    5. Dans Peer IP Type (Type d’adresse IP de l’homologue), sélectionnez "Dynamic (Dynamique)".
    6. Dans Authentication (Authentification), sélectionnez "Pre-Shared Key (Clé pré-partagée)".
    7. Dans Pre-Shared Key (Clé pré-partagée), collez la clé pré-partagée/la clé de secret créée dans Jamf Security Cloud et copiée à l’étape précédente.
    8. Dans Local Identification (Identification locale), sélectionnez "FQDN (hostname) (FQDN [Nom d’hôte])" et saisissez la valeur IKE Domain ID (Identifiant du domaine IKE) fournie dans Jamf Security Cloud (par exemple jamf.client.com).
    9. Dans Peer Identification (Identification de l’homologue), sélectionnez "FQDN (hostname) (FQDN [Nom d’hôte])" et saisissez wpa.wandera.com.
    10. Dans l’onglet Advanced Options (Options avancées), sélectionnez les éléments suivants :

      • Enable Passive Mode (Activer le mode passif)

      • Enable NAT Traversal (Activer le NAT Traversal) si votre pare-feu se trouve derrière un NAT

      • Le nom IKE Crypto Profile (Profil de chiffrement IKE) créé précédemment (par exemple Jamf IPSec Crypto)

    11. Cliquez sur OK pour créer la configuration de passerelle IKE.
  10. Cliquez sur l’onglet Network (Réseau).
  11. Sélectionnez IPSec Tunnels (Tunnels IPSec) et configurez un tunnel IPSec en procédant comme suit :
    1. Cliquez sur Add (Ajouter) pour créer un nouveau profil de tunnel IPSec.
    2. Dans le champ de sélection Tunnel, spécifiez l‘interface de tunnel créée ci-dessus.
    3. Dans Type, sélectionnez "Auto Key (Clé automatique)".
    4. Dans Address Type (Type d’adresse), sélectionnez "IPv4".
    5. Dans IKE Gateway (Passerelle IKE), sélectionnez la passerelle IKE créée précédemment (par exemple la passerelle IKE Jamf).
    6. Dans IPSec Crypto Profile (Profil de chiffrement IPSec), sélectionnez le profil de chiffrement IPSec créé précédemment (par exemple le profil IPSec Jamf).
    7. Cliquez sur OK pour créer la nouvelle configuration de tunnel IPSec.
  12. Vérifiez la configuration, puis sélectionnez Commit (Valider) pour la publier et l’activer.