Configurer un VPN site-à-site avec FortiGate pour une PME

Pour une PME disposant de plusieurs bureaux ou d’un siège et de filiales distantes, la mise en place d’un VPN site-à-site via FortiGate permet de sécuriser les échanges entre réseaux locaux. Cette configuration établit un tunnel chiffré entre deux pare-feux FortiGate (ou un FortiGate et un autre équipement compatible IPsec), sans intervention de l’utilisateur final. C’est une solution fiable pour interconnecter des sites sans exposer les données.

Choisir la bonne topologie VPN PME

Deux approches sont possibles selon la structure de l’entreprise :

• Hub and Spoke : tous les sites se connectent à un site central.
• Point à Point : chaque site est directement relié à un autre site.

Pour une PME avec un seul site principal et un ou deux sites secondaires, le modèle point à point reste le plus simple à déployer et maintenir.

Vérifications réseau avant déploiement

Avant de créer le tunnel VPN, il est indispensable de s’assurer que :

• Les adresses IP locales des deux sites ne se chevauchent pas (ex : 192.168.10.0/24 à Paris et 192.168.20.0/24 à Lyon).
• Les adresses IP publiques sont bien accessibles.
• Les ports UDP 500 et 4500 sont ouverts sur les pare-feux pour le protocole IPsec NAT-T.

Un test de connectivité entre les deux passerelles est recommandé avant toute configuration VPN.

Paramétrage IPsec sur l’interface FortiGate

Voici les grandes étapes de configuration via l’interface Web de FortiOS :

1. Création de la phase 1 (IKE) :
   • Accès via VPN > IPsec Tunnels > Create New > Custom
   • Renseigner l’IP distante du second site
   • Protocole IKEv1 ou IKEv2
   • Méthode d’authentification : PSK (clé partagée)
   • Interface WAN de sortie
2. Configuration de la phase 2 (IPsec SA) :
   • Définir les sous-réseaux locaux et distants
   • Chiffrement AES-256 / SHA-256 recommandé
   • Activer le mode « Auto-negotiate » pour une connexion persistante
3. Ajout des routes statiques :
   • Création d’une route vers le réseau distant via l’interface VPN
4. Règles de pare-feu :
   • Autoriser le trafic entre les réseaux locaux sur les deux FortiGate
   • Définir un ordre correct dans les règles de pare-feu (du tunnel vers le LAN)

Exemple de configuration phase 1 sur FortiGate

bash

CopierModifier

config vpn ipsec phase1-interface

  edit « VPN-Lyon »

    set interface « wan1 »

    set peertype any

    set remote-gw 203.0.113.10

    set psksecret « MaCléPartagée123 »

    set proposal aes256-sha256

    set dpd on-idle

    set ike-version 2

    set localid « paris-pme »

  next

end

Validation du tunnel et surveillance

Une fois les paramètres en place, rendez-vous dans VPN > Monitor > IPsec Monitor. Le tunnel doit apparaître en vert s’il est actif. Sinon :

• Vérifiez que l’adresse IP distante répond.
• Assurez-vous que la clé partagée est identique des deux côtés.
• Consultez les logs dans Log & Report > VPN Event pour identifier les erreurs.

Avantages pour les PME

Mettre en place un VPN site-à-site offre plusieurs bénéfices concrets :

• Connexion permanente entre sites, sans login utilisateur
• Transfert de fichiers sécurisé entre serveurs internes
• Partage de ressources réseau (imprimantes, logiciels métiers)
• Centralisation des sauvegardes dans le site principal

Selon une étude menée par Fortinet, 72 % des PME ayant adopté un VPN site-à-site constatent une baisse des incidents de sécurité liés aux échanges de fichiers inter-sites dans les six premiers mois.

Sécurisation avancée du tunnel

Pour renforcer la sécurité, il est recommandé d’ajouter :

• Inspection antivirus et filtrage sur le trafic VPN
• Authentification par certificat plutôt qu’une simple clé PSK
• Politiques de journalisation détaillées pour suivre les flux entre les sites

Il est aussi possible de coupler le VPN IPsec avec des règles UTM (Unified Threat Management) propres à FortiGate.

---