Étape 1 : Création d’une passerelle IPSec personnalisée dans Jamf Security Cloud

Documentation Jamf Connect

Solution

Application

Jamf Connect

Content Type

Documentation technique

Utilities & Services

ft:locale

fr-FR

Utilisez ce processus pour créer une connexion sécurisée à votre routeur SonicWall.

Dans Jamf Security Cloud, accédez à Integrations (Intégrations) > Access gateways (Passerelles d’accès).
Dans l’onglet Dedicated gateways (Passerelles dédiées) de la section Dedicated IPSec gateways (Passerelles IPSec dédiées), cliquez sur Create gateway (Créer une passerelle).
Dans Custom IPSec (IPSec personnalisé), cliquez sur Create gateway (Créer une passerelle).
Dans le volet Général, configurez les réglages suivants :
1. Dans le champ IPSec name (Nom IPSec), renseignez un nom pour la passerelle.
  Ce nom sera utilisé lors de la sélection de cette route comme destination de routage dans les règles d’accès.
2. Sélectionnez le nom du fournisseur de votre routeur dans le menu IPsec Network Vendor (Fournisseur du réseau IPSec).
3. Saisissez le nom et l’adresse électronique du contact technique de votre VPN.
4. Cliquez sur Next (Suivant).
Dans le volet Provisioning (Provisionnement), configurez les réglages suivants :
1. Utilisez le menu Egress region (Région de sortie) pour sélectionner le centre de données Jamf global dans lequel provisionner cette passerelle.
  Note:
  En général, la région sélectionnée doit être aussi proche géographiquement que possible de celle de votre équipement réseau de destination.
2. Dans Jamf Security Cloud IPSec source IP address (Adresse IP source IPSec Jamf Security Cloud), sélectionnez Dynamic addressing (Adressage dynamique).
3. Cliquez sur Next (Suivant).
Dans le volet Connectivity and Authentication (Connectivité et authentification), configurez les réglages suivants :
1. Dans le champ Your IPSec gateway IP address (Adresse IP de votre passerelle IPSec), saisissez l’adresse IP de votre routeur.
2. Par défaut, l’option Jamf Security Cloud IKE domain ID (Identifiant du domaine IKE Jamf Security Cloud) est définie sur wpa.wandera.com. Si votre routeur ou votre pare-feu ne prend pas en charge l’utilisation des noms de domaine entièrement qualifiés comme identifiants de domaine IPSec, vous devez remplacer la valeur par défaut par l’une des adresses IP source IPSec sortantes Jamf Security Cloud Cloud indiquées à l’étape Provisionnement.
3. Renseignez le champ Your IKE Domain ID (Identifiant de votre domaine IKE).
  Il s’agit d’un identifiant unique utilisé pour identifier et établir ce tunnel IPSec. Il doit s’agir d’un nom de domaine entièrement qualifié contenant une valeur telle que jamf.monentreprise.com. Vous devrez utiliser cette même valeur au moment de configurer le routeur.
4. Cliquez sur Generate secret (Générer un secret), puis sur Copy secret (Copier le secret).
5. Collez le mot de passe dans un emplacement sécurisé, par exemple une note dans un gestionnaire de mots de passe.
6. Cochez la case I have saved the authentication secret password (J’ai enregistré le mot de passe du secret d’authentification).
  Note:
  Pour des raisons de sécurité, vous pourrez modifier le secret partagé par la suite, mais vous ne pourrez pas le consulter.
7. Cliquez sur Next (Suivant).
Dans l’onglet Propositions et chiffrements, configurez les réglages suivants :
1. Assurez-vous que la valeur Key Exchange Protocol (Protocole d’échange de clés) est définie sur "IKEv2".
2. Définissez Phase 1: Encryption (Phase 1 : chiffrement) et Phase 2: Encryption (Phase 2 : chiffrement) sur "AES-256".
3. Définissez Phase 1: Integrity (Phase 1 : intégrité) et Phase 2: Integrity (Phase 2 : intégrité) sur "SHA-512".
4. Définissez Phase 1: Diffie-Hellman Groups (Phase 1 : groupes Diffie-Hellman) et Phase 2: Diffie-Hellman Groups (Phase 2 : groupes Diffie-Hellman) sur "Group 14 (mod2048) [Groupe 19 (ecp256)]".
5. Définissez les valeurs Security Association (SA) Lifetime (Durée de vie de l’association de sécurité [SA]) et Child Security Association (SA) Lifetime (Durée de vie de l’association de sécurité [SA] enfant) sur 28800 seconds.
  Note:
  Si votre organisation a des exigences spécifiques en matière de chiffrement, modifiez les réglages ci-dessus en conséquence. Modifiez également les réglages de votre routeur lorsque vous configurez ce côté du tunnel.
6. Cliquez sur Next (Suivant).
Dans le volet Encryption domain (Domaine de chiffrement), configurez les réglages suivants :
1. Sélectionnez Jamf Security Cloud Subnet (Sous-réseau Jamf Security Cloud) en utilisant le sélecteur d’adresse IP.
  Le sélecteur limite les IP disponibles à celles de la plage RFC1918 définie.
  
  Jamf suggère la plage 192.168.233.0/24, à condition qu’elle ne soit pas déjà définie ailleurs dans votre réseau.
2. Notez la dernière adresse IP de la plage (Adresse de test ICMP pingable) générée.
  Vous pouvez utiliser cette adresse IP pour valider que le côté Jamf du tunnel est accessible à votre routeur.
3. Dans le champ Customer Subnets (Sous-réseaux du client), saisissez le sous-réseau de votre réseau au format CIDR, puis cliquez sur Add (Ajouter).
  Il s’agit des sous-réseaux (en général, vos serveurs d’application) que les utilisateurs Jamf Trust à distance pourront atteindre via cette passerelle, à condition que leur appareil soit autorisé par toutes les règles « zero trust ». Pour rendre toutes ces adresses IP atteignables via cette passerelle, définissez ce champ sur 0.0.0.0/0.
  
  Note:
  Les domaines de chiffrement sont les adresses IP (sous-réseaux), de chaque côté du tunnel, qui doivent être chiffrées et capables de se router les unes vers les autres. Il peut s’agir d’hôtes uniques ou de plusieurs réseaux
Cliquez sur Next (Suivant).
Confirmez que vos réglages sont bien tous corrects, puis cliquez sur Save and create (Enregistrer et créer).

La route VPN est désormais créée du côté Jamf de la passerelle. Cliquez sur le nom de la passerelle nouvellement créée dans l’onglet Dedicated gateways (Passerelles dédiées) pour l’étudier en détail.