J’ai des Juniper SRX300 dans 8 sites et un ASA 5512-X dans 1 site. Je souhaite mettre en place des tunnels VPN entre tous les sites en mode mesh. Cela ne nécessitera jamais de s’étendre au-delà des 9 sites au total. Je préfère qu’aucun site ne dépende d’un autre pour accéder à un autre, comme dans un hub and spoke. Certains sites ont aussi une mauvaise connexion Internet et une latence élevée.
Je vais configurer des VPN basés sur des routes - simplement créer 8 /30 sur chaque appareil (st0/vti) et configurer BGP (Junos ne supporte pas OSPF sur IPSec à moins que je ne me trompe ?) Je me demande s’il existe une méthode plus efficace pour faire cela ? Des recommandations ?
Avec cette combinaison d’équipements, choisissez les deux sites les mieux connectés et faites-en des “hubs”. Ensuite, utilisez un protocole de routage dynamique (la présence de l’ASA nécessite l’utilisation de BGP) pour établir les chemins entre eux. Cela vous protégera contre une défaillance d’un seul équipement ou fournisseur et limitera le nombre de tunnels à créer.
L’alternative est de créer manuellement 72 tunnels VPN.
Lors de votre prochain renouvellement d’équipement, achetez une solution SDN ou quelque chose qui peut faire du DMVPN si vous n’avez pas besoin d’une sélection de chemin plus intelligente.
L’option la plus proche est ADVPN (qui doit être utilisé conjointement avec AutoVPN les hubs). Pour être précis, cela ne crée pas un mesh, vous avez encore besoin de hubs et de spokes, mais cela permet de créer automatiquement des tunnels shortcut. Très similaire au DMVPN de Cisco.
Junos ne supporte pas OSPF sur IPSec à moins que je ne me trompe ?
Je ne suis pas sûr d’où vous tenez cela, mais c’est incorrect. En fait, un IGP fonctionnant sur le multipoint (même s’il n’est pas limité au multipoint) sur l’interface(s) st0 est requis pour que la fonctionnalité ADVPN mentionnée ci-dessus fonctionne.
L’ASA ne sera pas supporté dans un AutoVPN p2mp, vous devrez soit configurer manuellement les 8 tunnels, soit en créer quelques-uns pour vos hubs et laisser le trafic s’acheminer de façon sous-optimale. Cependant, l’ADVPN est une technologie basée sur les standards, et les hubs AutoVPN supportent également des clients tiers en mode point-à-point, il pourrait donc être possible d’intégrer avec d’autres tiers que Cisco.
Mise à jour : En fait, je suppose que non, l’ADVPN ne peut pas être utilisé en mode point-à-point sur le côté Juniper.
Vous pouvez également automatiser la configuration ou au moins remplir un modèle dans Excel ou quelque chose comme ça.
De cette façon, il vous suffit d’entrer les informations du site dans une liste globale et de ne pas avoir à créer manuellement toutes les configurations de tunnel.
Je gère beaucoup de VPN SRX300 et ils supportent complètement OSPF sur IPSec. Aucun problème de ce côté. Ils n’aiment simplement pas RIP sur les tunnels IPSec. Si vous voulez faire cela une seule fois, je créerais un VPN multi-point sur chaque SRX pour les tunnels entrants. Ça facilite un peu les choses qu’en créant 8 tunnels individuels par appareil. Êtes-vous vraiment sûr de vouloir un mesh ? Il est beaucoup plus simple de créer deux nœuds maîtres dans des emplacements séparés et de faire deux VPN point-à-point tout en restant en haute disponibilité.
Ton message laissait entendre que rien de ce genre n’est possible avec l’équipement qu’ils ont, ce qui est tout faux. Il y a une alternative : utiliser AutoVPN et configurer 8 tunnels pour l’ASA ‘noir-mouton’ (ou dépenser quelques euros en un autre SRX). Ils n’ont pas besoin de remplacer leur matériel, ni de ‘quelque chose qui peut faire du DMVPN’.