Port Secure Twin pour le contrôle actif du trafic

La plage overlay est une plage d'adresses réservée aux actifs protégés par Access Gate. Chaque adresse underlay (réelle) d'un actif correspond à une adresse overlay associée.

La configuration par défaut d'Access Gate utilise la plage overlay 100.64.0.0/16 (elle appartient à la plage réservée CGNAT et ne devrait généralement pas entrer en conflit avec les plages IP existantes).

Une plage overlay est un mappage bidirectionnel (« binat ») sur la plage underlay correspondante. Si nécessaire, plusieurs plages overlay peuvent être définies pour couvrir plusieurs underlays.

Les plages overlay sont définies dans l'interface utilisateur d'Access Gate :

Plages de réseaux virtuels

Dans cet exemple, nous définissons deux réseaux overlay sur deux plages différentes :

• de 100.64.0.0/22 vers 172.31.112.0/22 (un VLAN sur le site actuel)
• de 100.64.0.0/22 vers 100.127.252.0/22 (un réseau WiFi sécurisé)

Pour que les binats soient fonctionnels, la taille des masques de réseau doit correspondre, et les plages overlay et underlay ne doivent pas se chevaucher.

Le réseau d'interconnexion est un petit réseau (nous recommandons un préfixe /29 uniquement) qui ne doit contenir que vos routeurs de bordure et vos Access Gates.

Par défaut, nous recommandons le réseau 100.65.0.0/29 (également dans la plage CGNAT), car il n'entre pas en conflit avec l'overlay par défaut.

Ce réseau doit être configuré sur vos routeurs de bordure, par exemple sur un routeur Mikrotik :

/interface/vlan/add name=vlan-aginterco vlan-id=100
/ip/address/add address=100.65.0.1/29 interface=vlan-aginterco

Dans la page de paramètres d'Access Gate, l'adresse de passerelle est configurée en tant qu'interface « secure twin » :

Une fois le type de port sélectionné, vous pouvez saisir les valeurs :

Une requête ping ICMP permet ensuite de vérifier que la passerelle est opérationnelle.

L'ensemble de la plage overlay est désormais protégé par Access Gate, et le routeur peut transférer tout le trafic. Une fois l'interconnexion configurée conformément au paragraphe précédent, une seule route doit être insérée dans le routeur. Par exemple, en poursuivant la configuration du même routeur :

/ip/route
 add comment="overlay (2 nets)" dst-address=100.64.0.0/16 gateway=100.65.0.5

Il est souvent plus simple d'enregistrer une route unique pour l'ensemble de la plage CGNAT et de laisser Access Gate gérer les différentes sous-plages et routes pour tous les vnets qu'il administre. Si vous utilisez déjà la plage CGNAT à des fins internes, des routes pour des plages plus petites peuvent être insérées dans le routeur.

Access Gate fournit un service de résolution de noms dynamique pour tous les actifs enregistrés dans l'inventaire — aucune configuration supplémentaire n'est requise.

Deux options sont disponibles pour les réseaux locaux :

1. Configurer le serveur DNS existant pour le DNS split
2. Configurer Access Gate comme fournisseur de DNS split

La première option dépend principalement de votre fournisseur existant ; nous nous concentrons ici sur la seconde.

Dans la page de paramètres, configurez le résolveur DNS pour qu'il pointe vers votre résolveur DNS existant (ou conservez le résolveur public par défaut préservant la confidentialité, Quad9).

Un serveur DNS s'exécute par défaut sur le port de passerelle (100.65.0.6 dans ce guide). Vous pouvez le vérifier en interrogeant l'adresse d'un actif existant (10.0.0.10 dans cet exemple) :

dig @100.65.0.6 10.0.0.10.blacklab.tr-sec.net

Une réponse dans la plage 100.64.0.0/12 (par exemple 100.64.0.10) confirme que le DNS fonctionne correctement. La configuration du serveur DHCP (généralement sur le routeur) est ensuite mise à jour en conséquence :

/ip/dhcp-server/network
 add address=10.0.0.0/16 dns-server=100.65.0.6 gateway=10.0.0.1