Comment mettre en place un VPN IPsec avec le CloudConnect emnify

23.11.2022
guide-image

emnify permet de créer un IPsec afin de protéger tous les échanges de données entre votre application et notre cœur de réseau mobile. Grâce au CloudConnect emnify, vous pouvez facilement configurer un IPsec en quelques étapes.

1. Configuration de l’IPsec côté emnify

1.1. Configuration du portail

Pour créer un IPsec, cliquez sur Intégrations dans le menu latéral du portail. Descendez ensuite jusqu’à la section Connexion Sécurisée, et cliquez sur Ajouter en bas du bloc IPsec.

Le formulaire suivant s’affiche :

Renseignez les informations demandées :

  • Choisissez un nom
  • Choisissez la région à laquelle vous souhaitez vous connecter. Cette région doit être la même dans la politique de service assignée à vos appareils connectés devant utiliser le VPN.
  • Entrez l’IP publique de votre VPN
  • Renseignez jusqu’à 3 CIDR utilisés au sein de votre VPC. Choisissez les CIDR vers lesquels seront envoyées les données. Les CIDR doivent être des préfixes valides d’adresse privées au format RFC 1918, dont les plages doivent êtres comprises entre /32 et /22. Le CIDR par défaut /16 n’est pas accepté. Si le CIDR est déjà attribué de notre côté, un message d’alerte apparaîtra au moment de la validation car AWS n’accepte pas les adresses IP redondantes.
  • Le PSK est généré automatiquement
  • Vous pouvez ajouter une description
  • Vérifiez la configuration et cliquez sur "créer maintenant". Si la configuration est correcte, le VPN sera mis en place. Sinon, suivez et corrigez les erreurs indiquées.

NB : une fois la création de l’IPsec terminée, la facturation est déclenchée à la fin du mois, comme spécifié au début de la procédure.

2. Configuration de l’IPsec côté client

2.1. Redondance

À des fins de redondance, la procédure décrite entraîne la création de deux tunnels. Nous vous recommandons de les configurer tous les deux de votre côté, mais cela reste facultatif.

Pour vous aider dans cette configuration, vous pouvez utiliser les ressources documentaires Amazon : https://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/your-cgw.html. Choisissez votre périphérique de passerelle client, et appliquez la configuration correspondante.

2.3. Règles du pare-feu (trafic entrant)

Côté client, il est nécessaire d’autoriser la réception de données provenant des adresses IP emnify. Pour cela, il est possible soit d’autoriser toutes les plages d’IP emnify, soit seulement les adresses reliées à votre compte emnify.

  • Si possible, autorisez le trafic provenant de toutes les plages ci-dessous :
    • 10.192.0.0/12
    • 100.64.0.0/10
    • 10.112.0.0/12
    • 10.176.0.0/12

Dans ce cas, vous vous assurez que le trafic provenant de tous vos appareils connectés est bien autorisé.

  • En cas de règles contradictoires, vous pouvez aussi n’autoriser que les plages d’IP reliées à votre compte. Dans ce cas, vous devrez mettre à jour la configuration lorsqu’une nouvelle plage est utilisée par votre compte.

2.3. Tables de routage (trafic sortant)

La table de routage doit aussi être mise à jour, car le trafic en direction de vos appareils (donc des plages d’IP emnify) traverse l’IPsec. Voici deux méthodes possibles :

  • Si possible, dirigez tout le trafic en direction des plages d’IP ci-dessous à travers l’IPsec :
    • 10.192.0.0/12
    • 100.64.0.0/10
    • 10.112.0.0/12
    • 10.176.0.0/12

En cas de règles contradictoires, vous pouvez ne renseigner que les plages d’IP reliées à votre compte. Dans ce cas, vous devrez mettre à jour la configuration lorsqu’une nouvelle plage est utilisée par votre compte.