Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Fichiers de configuration statiques et dynamiques pour un dispositif de passerelle AWS Site-to-Site VPN client
<a name="example-configuration-files"></a>

Après avoir créé la connexion VPN, vous avez également la possibilité de télécharger un exemple de fichier de configuration fourni par AWS depuis la console Amazon VPC ou via l'API EC2. Pour plus d’informations, consultez [Étape 6 : Téléchargement du fichier de configuration](SetUpVPNConnections.md#vpn-download-config). Vous pouvez également télécharger des fichiers .zip contenant des exemples de configurations spécifiques pour le routage statique ou dynamique à partir de ces pages respectives.

L'exemple de fichier de configuration AWS fourni contient des informations spécifiques à votre connexion VPN que vous pouvez utiliser pour configurer votre dispositif de passerelle client. Ces fichiers de configuration spécifiques au périphérique sont disponibles uniquement pour les périphériques testés par AWS. Si votre périphérique de passerelle client spécifique n'est pas répertorié, vous pouvez commencer par télécharger un fichier de configuration générique.

**Important**  
Le fichier de configuration n'est qu'un exemple et il se peut qu'il ne corresponde pas entièrement aux paramètres de connexion Site-to-Site VPN que vous avez définis. Il spécifie les exigences minimales pour une connexion Site-to-Site VPN de AES128 SHA1, et Diffie-Hellman groupe 2 dans la plupart des AWS régions, et, AES128 SHA2, et Diffie-Hellman groupe 14 dans les régions. AWS GovCloud Il spécifie également des clés prépartagées pour l'authentification. Vous devez modifier l'exemple de fichier de configuration pour tirer parti des algorithmes de sécurité supplémentaires, des groupes Diffie-Hellman, des certificats privés et du trafic. IPv6 

**Note**  
Ces fichiers de configuration spécifiques à l'appareil sont fournis dans AWS la mesure du possible. Bien qu'ils aient été testés par AWS, ces tests sont limités. Si vous rencontrez un problème avec les fichiers de configuration, vous devrez peut-être contacter le fournisseur concerné pour obtenir une assistance supplémentaire.

Le tableau suivant contient une liste des appareils pour lesquels un exemple de fichier de configuration disponible au téléchargement a été mis à jour pour être pris en charge IKEv2. Nous avons intégré la IKEv2 prise en charge des fichiers de configuration pour de nombreux appareils de passerelle client courants et nous continuerons d'ajouter des fichiers supplémentaires au fil du temps. Cette liste sera mise à jour à mesure que d'autres exemples de fichiers de configuration seront ajoutés.


| Vendor | Plateforme | Logiciels | 
| --- | --- | --- | 
|  AXGATE  |  NF  |  AOS 3.2\$1  | 
|  AXGATE  |  UTM  |  IOS 2.1\$1  | 
|  Checkpoint  |  Gaia  |  R80.10\$1  | 
|  Cisco Meraki  |  MX Series  |  15.12\$1 (WebUI)  | 
|  Cisco Systems, Inc.  |  ASA 5500 Series  |  ASA 9.7\$1 VTI  | 
|  Cisco Systems, Inc.  |  CSRv AMI  |  IOS 12.4\$1  | 
|  Fortinet  |  Fortigate 40\$1 Series  |  FortiOS 6.4.4\$1 (GUI)  | 
|  Juniper Networks, Inc.  |  Routeurs J-Series  |  JunOS 9.5\$1  | 
|  Juniper Networks, Inc.  |  Routeurs SRX  |  JunOS 11.0\$1  | 
|  Mikrotik  |  RouterOS  |  6,44.3  | 
|  Palo Alto Networks  |  PA Series  |  PANOS 7.0\$1  | 
|  SonicWall  |  NSA, TZ  |  OS 6.5  | 
|  Sophos  |  Par-feu Sophos  |  v19\$1  | 
|  Strongswan  |  Ubuntu 16.04  |  Strongswan 5.5.1\$1  | 
|  Yamaha  |  Routeurs RTX  |  Rev.10.01.16\$1  | 

# Fichiers de configuration de routage statique téléchargeables pour un dispositif de passerelle AWS Site-to-Site VPN client
<a name="cgw-static-routing-examples"></a>

Pour télécharger un exemple de fichier de configuration avec des valeurs spécifiques à la configuration de votre connexion Site-to-Site VPN, utilisez la console Amazon VPC, la ligne de AWS commande ou l'API Amazon EC2. Pour de plus amples informations, veuillez consulter [Étape 6 : Téléchargement du fichier de configuration](SetUpVPNConnections.md#vpn-download-config).

Vous pouvez également télécharger des exemples de fichiers de configuration génériques pour le routage statique qui n'incluent pas de valeurs spécifiques à la configuration de votre connexion Site-to-Site VPN : [static-routing-examples.zip](samples/static-routing-examples.zip) 

Les fichiers utilisent des valeurs d'espace réservé pour certains composants. Par exemple, ils utilisent :
+ Des exemples de valeurs pour l'ID de connexion VPN, l'ID de passerelle client et l'ID de passerelle réseau privé virtuel
+ Espaces réservés aux AWS points de terminaison d'adresses IP distants (*AWS\$1ENDPOINT\$11*et) *AWS\$1ENDPOINT\$12*
+ Un espace réservé pour l'adresse IP de l'interface externe routable par Internet sur le dispositif de passerelle client () *your-cgw-ip-address*
+ Un espace réservé pour la valeur clé pré-partagée () pre-shared-key
+ Des exemples de valeurs pour le tunnel à l'intérieur des adresses IP.
+ Exemples de valeurs pour le paramètre MTU.

**Note**  
Les paramètres MTU fournis dans les exemples de fichiers de configuration ne sont que des exemples. Veuillez vous référer à [Bonnes pratiques pour un dispositif de passerelle AWS Site-to-Site VPN client](cgw-best-practice.md) pour obtenir des informations sur la définition de la valeur MTU optimale pour votre situation.

En plus de fournir des valeurs d'espace réservé, les fichiers spécifient les exigences minimales pour une connexion Site-to-Site VPN de AES128, SHA1, et du groupe Diffie-Hellman 2 dans la plupart des AWS régions, et AES128 SHA2, et du groupe Diffie-Hellman 14 dans les régions. AWS GovCloud Ils spécifient également des clés prépartagées pour l'[authentification](vpn-tunnel-authentication-options.md). Vous devez modifier l'exemple de fichier de configuration pour tirer parti des algorithmes de sécurité supplémentaires, des groupes Diffie-Hellman, des certificats privés et du trafic. IPv6 

Le diagramme suivant fournit une vue d'ensemble des différents composants configurés sur le périphérique de passerelle client. Il inclut des exemples de valeurs pour les adresses IP de l'interface tunnel.

![\[Périphérique de passerelle client avec routage statique\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/cgw-static-routing.png)


# Configuration du routage statique pour un dispositif de passerelle AWS Site-to-Site VPN client
<a name="cgw-static-routing-example-interface"></a>

Voici quelques exemples de procédures pour configurer un périphérique de passerelle client à l'aide de son interface utilisateur (si disponible).

------
#### [ Check Point ]

Voici les étapes à suivre pour configurer votre dispositif de passerelle client s'il s'agit d'un appareil Check Point Security Gateway exécutant la version R77.10 ou une version ultérieure, à l'aide du système d'exploitation Gaia et de Check Point. SmartDashboard Vous pouvez également consulter l'article VPC de [Check Point Security IPsec Gateway sur le VPC d'Amazon Web Services](https://support.checkpoint.com/results/sk/sk100726) sur le Check Point Support Center.

**Pour configurer l'interface du tunnel**

La première étape consiste à créer les tunnels VPN et à fournir les adresses IP privées (internes) de la passerelle client et de la passerelle réseau privé virtuel pour chaque tunnel. Pour créer le premier tunnel, utilisez les informations fournies dans la section `IPSec Tunnel #1` du fichier de configuration. Pour créer le second tunnel, utilisez les valeurs fournies dans la section `IPSec Tunnel #2` du fichier de configuration. 

1. Ouvrez le portail Gaia de votre périphérique Check Point Security Gateway.

1. Sélectionnez successivement **Network Interfaces**, **Add**, **VPN tunnel**.

1. Dans la boîte de dialogue, configurez les paramètres comme suit et choisissez **OK** lorsque vous avez terminé :
   + Pour **VPN Tunnel ID**, entrez une valeur unique, telle que 1.
   + Pour **Peer**, entrez un nom unique pour votre tunnel, tel que `AWS_VPC_Tunnel_1` ou `AWS_VPC_Tunnel_2`.
   + Vérifiez que **Numbered (Numéroté)** est sélectionné et, pour **Local Address (Adresse locale)**, entrez l'adresse IP spécifiée pour `CGW Tunnel IP` dans le fichier de configuration (`169.254.44.234`, par exemple). 
   + Pour **Remote Address**, entrez l'adresse IP spécifiée pour `VGW Tunnel IP` dans le fichier de configuration (`169.254.44.233`, par exemple).  
![\[Boîte de dialogue Check Point Add VPN Tunnel\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/check-point-create-tunnel.png)

1. Connectez-vous à votre passerelle de sécurité via SSH. Si vous utilisez le shell autre que celui par défaut, choisissez clish en exécutant la commande suivante : `clish`

1. Pour tunnel 1, exécutez la commande suivante :

   ```
   set interface vpnt1 mtu 1436
   ```

   Pour tunnel 2, exécutez la commande suivante :

   ```
   set interface vpnt2 mtu 1436
   ```

1. Répétez ces étapes pour créer un second tunnel, à l'aide des informations de la section `IPSec Tunnel #2` du fichier de configuration.

**Pour configurer les itinéraires statiques**

Dans cette étape, spécifiez la route statique vers le sous-réseau dans le VPC de chaque tunnel pour vous permettre d'acheminer le trafic via les interfaces de tunnel. Le second tunnel permet un basculement en cas de problème avec le premier tunnel. Si un problème est détecté, la stratégie basée sur la route statique est supprimée de la table de routage et la deuxième route est activée. Vous devez également activer la passerelle Check Point pour effectuer un test ping sur l'autre extrémité du tunnel et vérifier que le tunnel est opérationnel.

1. Dans le portail Gaia, choisissez **IPv4 Static Routes**, puis **Ajouter**.

1. Spécifiez le CIDR de votre sous-réseau : par exemple, `10.28.13.0/24`.

1. Choisissez **Add Gateway**, **IP Address**.

1. Entrez l'adresse IP spécifiée pour `VGW Tunnel IP` dans le fichier de configuration (par exemple, `169.254.44.233`) et spécifiez une priorité égale à 1.

1. Sélectionnez **Ping**.

1. Répétez les étapes 3 et 4 pour le second tunnel, à l'aide de la valeur `VGW Tunnel IP` de la section `IPSec Tunnel #2` du fichier de configuration. Spécifiez une priorité égale à 2.  
![\[Boîte de dialogue Check Point Edit Destination Route\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/check-point-static-routes.png)

1. Choisissez **Enregistrer**.

Si vous utilisez un cluster, répétez les étapes précédentes pour les autres membres du cluster. 

**Pour définir un nouvel objet réseau**

Dans cette étape, vous créez un objet réseau pour chaque tunnel VPN, en spécifiant les adresses IP publiques (externes) de la passerelle réseau privé virtuel. Par la suite, vous ajoutez ces objets réseau en tant que passerelles satellite pour votre communauté VPN. Vous devez également créer un groupe vide comme espace réservé du domaine VPN. 

1. Ouvrez le point de contrôle SmartDashboard.

1. Pour **Groups**, ouvrez le menu contextuel et choisissez **Groups**, **Simple Group**. Vous pouvez utiliser le même groupe pour chaque objet réseau.

1. Pour **Network Objects**, ouvrez le menu contextuel (clic droit) et choisissez **New**, **Interoperable Device**.

1. Pour **Name (Nom)**, entrez le nom que vous avez fourni pour votre tunnel : `AWS_VPC_Tunnel_1` ou `AWS_VPC_Tunnel_2`, par exemple.

1. Pour **IPv4 Adresse**, entrez l'adresse IP externe de la passerelle privée virtuelle fournie dans le fichier de configuration, par exemple,`54.84.169.196`. Enregistrez vos paramètres et fermez la boîte de dialogue.  
![\[Boîte de dialogue Check Point Interoperable Device\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/check-point-network-device.png)

1. Dans le volet SmartDashboard, ouvrez les propriétés de votre passerelle et dans le volet des catégories, sélectionnez **Topology**. 

1. Pour récupérer la configuration de l'interface, choisissez **Get Topology**.

1. Dans la section **VPN Domain (Domaine VPN)**, choisissez **Manually defined (Défini manuellement)**, puis accédez au groupe simple vide que vous avez créé à l'étape 2 et sélectionnez-le. Choisissez **OK**.
**Note**  
Vous pouvez conserver n'importe quel domaine VPN existant que vous avez configuré. Cependant, assurez-vous que les hôtes et les réseaux qui sont utilisés ou servis par la nouvelle connexion VPN ne sont pas déclarés dans ce domaine VPN, notamment si le domaine VPN est automatiquement dérivé.

1. Répétez ces étapes pour créer un second objet réseau, à l'aide des informations de la section `IPSec Tunnel #2` du fichier de configuration.

**Note**  
Si vous utilisez des clusters, modifiez la topologie et définissez les interfaces comme interfaces de cluster. Utilisez les adresses IP spécifiées dans le fichier de configuration. 

**Pour créer et configurer la communauté VPN, l'IKE et IPsec les paramètres**

Dans cette étape, vous créez une communauté VPN sur votre passerelle Check Point, à laquelle vous ajoutez les objets réseau (périphériques interopérables) de chaque tunnel. Vous configurez également l'échange de clés Internet (IKE) et IPsec les paramètres.

1. Dans les propriétés de votre passerelle, choisissez **IPSecVPN** dans le volet des catégories.

1. Choisissez **Communities**, **New**, **Star Community**.

1. Entrez un nom pour votre communauté (par exemple, `AWS_VPN_Star`), puis choisissez **Center Gateways** dans le volet des catégories.

1. Choisissez **Add**, puis ajoutez votre passerelle ou cluster à la liste des passerelles participantes.

1. Dans le volet des catégories, sélectionnez **Satellite Gateways (Passerelles satellites)**, **Add (Ajouter)**, puis ajoutez les périphériques interopérables que vous avez créés précédemment (`AWS_VPC_Tunnel_1` et `AWS_VPC_Tunnel_2`) à la liste des passerelles participantes.

1. Dans le volet des catégories, sélectionnez **Encryption**. Dans la section **Méthode de chiffrement**, sélectionnez **IKEv1 uniquement**. Dans la section **Encryption Suite**, choisissez **Custom**, **Custom Encryption**.

1. Dans la boîte de dialogue, configurez les propriétés de chiffrement comme suit, puis sélectionnez **OK** lorsque vous avez terminé :
   + Propriétés IKE Security Association (Phase 1) :
     + **Perform key exchange encryption with** : AES-128
     + **Perform data integrity with** : SHA-1
   + IPsec Propriétés de l'association de sécurité (phase 2) :
     + **Effectuez le chiffrement IPsec des données avec** : AES-128
     + **Perform data integrity with** : SHA-1

1. Dans le volet des catégories, sélectionnez **Tunnel Management**. Choisissez **Set Permanent Tunnels**, **On all tunnels in the community**. Dans la section **VPN Tunnel Sharing**, choisissez **One VPN tunnel per Gateway pair**.

1. Dans le volet des catégories, développez **Advanced Settings**, puis choisissez **Shared Secret**.

1. Sélectionnez le nom d'homologue du premier tunnel, choisissez **Edit (Modifier)** et entrez la clé prépartagée comme indiqué dans la section `IPSec Tunnel #1` du fichier de configuration.

1. Sélectionnez le nom d'homologue du second tunnel, choisissez **Edit (Modifier)** et entrez la clé prépartagée comme indiqué dans la section `IPSec Tunnel #2` du fichier de configuration.  
![\[Boîte de dialogue Check Point Interoperable Shared Secret\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/check-point-shared-secret.png)

1. Toujours dans la catégorie **Advanced Settings (Paramètres avancés)**, choisissez **Advanced VPN Properties (Propriétés de VPN avancées)**, configurez les propriétés comme suit et sélectionnez **OK** lorsque vous avez terminé :
   + IKE (Phase 1) :
     + **Use Diffie-Hellman group (Utiliser le groupe Diffie-Hellman)** : `Group 2`
     + **Renegotiate IKE security associations every** `480` **minutes**
   + IPsec (Phase 2) :
     + Choisissez **Use Perfect Forward Secrecy**
     + **Use Diffie-Hellman group (Utiliser le groupe Diffie-Hellman)** : `Group 2`
     + ****Renégociez les associations de IPsec sécurité toutes les secondes `3600`****

**Pour créer les règles de pare-feu**

Dans cette étape, vous configurez une stratégie avec les règles de pare-feu et les règles de correspondance directionnelle qui autorisent les communications entre le VPC et le réseau local. Puis, vous installez la stratégie sur votre passerelle.

1. Dans le SmartDashboard, choisissez **Propriétés globales** pour votre passerelle. Dans le volet des catégories, développez **VPN**, puis choisissez **Advanced**.

1. Choisissez **Enable VPN Directional Match in VPN Column** et enregistrez vos modifications.

1. Dans le SmartDashboard, choisissez **Firewall**, puis créez une politique avec les règles suivantes : 
   + Autoriser le sous-réseau VPC à communiquer avec le réseau local via les protocoles requis. 
   + Autoriser le réseau local à communiquer avec le sous-réseau VPC via les protocoles requis.

1. Ouvrez le menu contextuel de la cellule de la colonne VPN, puis choisissez **Edit Cell**. 

1. Dans la boîte de dialogue **VPN Match Conditions**, choisissez **Match traffic in this direction only**. Créez les règles de correspondance directionnelle suivantes en choisissant **Add** pour chaque règle, puis **OK** lorsque vous avez terminé :
   + `internal_clear` > Communauté VPN (la communauté VPN que vous avez créée plus tôt : par exemple, `AWS_VPN_Star`)
   + Communauté VPN > Communauté VPN
   + Communauté VPN > `internal_clear`

1. Dans le SmartDashboard, choisissez **Policy**, **Install**. 

1. Dans la boîte de dialogue, sélectionnez votre passerelle, puis choisissez **OK** pour installer la stratégie.

**Pour modifier la propriété tunnel\$1keepalive\$1method**

Votre passerelle Check Point peut utiliser la détection d'homologue mort (DPD, Dead Peer Detection) pour savoir à quel moment une association IKE est arrêtée. Pour configurer DDP pour un tunnel permanent, le tunnel permanent doit être configuré dans la communauté AWS VPN (reportez-vous à l'étape 8).

Par défaut, la propriété `tunnel_keepalive_method` pour une passerelle VPN est définie sur `tunnel_test`. Vous devez modifier la valeur sur `dpd`. Chaque passerelle VPN de la communauté VPN qui nécessite une surveillance DPD doit être configurée avec la propriété `tunnel_keepalive_method`, notamment toute passerelle VPN tierce. Vous ne pouvez pas configurer différents mécanismes de surveillance pour la même passerelle.

Vous pouvez mettre à jour la `tunnel_keepalive_method` propriété à l'aide de l'DBedit outil Gui.

1. Ouvrez le point SmartDashboard de contrôle et choisissez **Security Management Server**, **Domain Management Server**.

1. Choisissez **File**, **Database Revision Control...** et créez un instantané de révision.

1. Fermez toutes les SmartConsole fenêtres, telles que le SmartDashboard SmartView Tracker et le SmartView Monitor.

1. Démarrez l'BDedit outil Gui. Pour plus d'informations, consultez l'article [Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009) sur le Centre de support Check Point. 

1. Choisissez **Security Management Server**, **Domain Management Server**.

1. Dans le volet supérieur gauche, choisissez **Table**, **Network Objects**, **network\$1objects**. 

1. Dans le volet supérieur droit, sélectionnez l'objet **Security Gateway**, **Cluster** approprié. 

1. Appuyez sur CTRL\$1F, ou utilisez le menu **Search** pour rechercher ce qui suit : `tunnel_keepalive_method`.

1. Dans le volet inférieur, ouvrez le menu contextuel pour `tunnel_keepalive_method` et sélectionnez **Edit... (Éditer...)**. Choisissez **dpd**, puis **OK**.

1. Répétez les étapes 7 à 9 pour chaque passerelle faisant partie de la communauté AWS VPN.

1. Sélectionnez **File**, **Save As**.

1. Fermez l'DBedit outil Gui.

1. Ouvrez le point SmartDashboard de contrôle et choisissez **Security Management Server**, **Domain Management Server**.

1. Installez la stratégie sur l'objet **Security Gateway**, **Cluster** approprié.

Pour plus d'informations, consultez l'article [Nouvelles fonction VPN dans R77.10](https://support.checkpoint.com/results/sk/sk97746) sur le Centre de support Check Point.

**Pour activer la restriction TCP MSS**

La restriction TCP MSS réduit la taille de segment maximale des paquets TCP afin d'éviter la fragmentation des paquets.

1. Accédez au répertoire suivant : `C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\`.

1. Ouvrez Check Point Database Tool en exécutant le fichier `GuiDBEdit.exe`.

1. Choisissez **Table**, **Global Properties**, **properties**.

1. Pour `fw_clamp_tcp_mss`, choisissez **Edit**. Remplacez la valeur par `true`, puis choisissez **OK**.

**Pour vérifier l'état du tunnel**  
Vous pouvez vérifier l'état du tunnel en exécutant la commande suivante à partir de l'outil de ligne de commande en mode expert.

```
vpn tunnelutil
```

Dans les options qui s'affichent, choisissez **1** pour vérifier les associations IKE et **2** pour vérifier les IPsec associations.

Vous pouvez aussi utiliser le journal Check Point Smart Tracker Log pour vérifier que les paquets de la connexion sont chiffrés. Par exemple, le journal suivant indique qu'un paquet adressé au VPC a été envoyé via le tunnel 1 et qu'il a été chiffré.

![\[Fichier journal Check Point\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/check-point-log.png)


------
#### [ SonicWALL ]

La procédure suivante montre comment configurer les tunnels VPN sur l'appareil SonicWALL à l'aide de l'interface de gestion SonicOS.

**Pour configurer les tunnels**

1. Ouvrez l'interface de gestion SonicOS SonicWALL. 

1. Dans le volet de gauche, sélectionnez **VPN**, **Settings**. Sous **VPN Policies**, choisissez **Add...**.

1. Dans la fenêtre de stratégie VPN de l'onglet **General **, renseignez les informations suivantes :
   + **Type de stratégie** : Choisissez **Tunnel Interface**.
   + **Authentication Method** : choisissez **IKE using Preshared Secret**.
   + **Name** : entrez un nom pour la stratégie VPN. Nous vous recommandons d'utiliser le nom de l'ID de VPN, tel que fourni dans le fichier de configuration.
   + **IPsec Nom ou adresse de la passerelle principale** : entrez l'adresse IP de la passerelle privée virtuelle telle que fournie dans le fichier de configuration (par exemple,`72.21.209.193`).
   + **IPsec Nom ou adresse de la passerelle secondaire** : conservez la valeur par défaut.
   + **Shared Secret** : entrez la clé pré-partagée, telle que fournie dans le fichier de configuration, puis entrez-la à nouveau dans **Confirm Shared Secret**.
   + **ID IKE local** : entrez l' IPv4 adresse de la passerelle client (l'appareil SonicWall). 
   + **ID IKE homologue** : entrez l' IPv4 adresse de la passerelle privée virtuelle.

1. Dans l'onglet **Network**, renseignez les informations suivantes :
   + Sous **Local Networks**, choisissez **Any address**. Nous recommandons cette option afin d'éviter des problèmes de connectivité à partir de votre réseau local. 
   + Sous **Remote Networks**, choisissez **Choose a destination network from list**. Créez un objet d'adresse avec le CIDR de votre VPC dans AWS.

1. Dans l'onglet **Proposals (Propositions)**, renseignez les informations suivantes. 
   + Sous **IKE (Phase 1) Proposal**, procédez comme suit :
     + **Exchange** : choisissez **Main Mode**.
     + **DH Group (Groupe DH)** : entrez une valeur pour le groupe Diffie-Hellman (par exemple, `2`). 
     + **Encryption** : choisissez **AES-128** ou **AES-256**.
     + **Authentification** : Choisissez **SHA1**ou **SHA256**.
     + **Life Time** : entrez `28800`.
   + Sous **IKE (Phase 2) Proposal**, procédez comme suit :
     + **Protocol** : choisissez **ESP**.
     + **Encryption** : choisissez **AES-128** ou **AES-256**.
     + **Authentification** : Choisissez **SHA1**ou **SHA256**.
     + Cochez la case **Enable Perfect Forward Secrecy**, puis choisissez le groupe Diffie-Hellman.
     + **Life Time** : entrez `3600`.
**Important**  
Si vous avez créé votre passerelle privée virtuelle avant octobre 2015, vous devez spécifier le groupe Diffie-Hellman 2, AES-128, et pour les deux phases. SHA1

1. Dans l'onglet **Advanced**, renseignez les informations suivantes :
   + Sélectionnez **Enable Keep Alive**.
   + Sélectionnez **Enable Phase2 Dead Peer Detection** et entrez les informations suivantes :
     + Pour **Dead Peer Detection Interval**, entrez `60` (c'est le minimum que l'appareil SonicWALL accepte).
     + Pour **Failure Trigger Level**, entrez `3`.
   + Pour **VPN Policy bound to**, sélectionnez **Interface X1**. C'est l'interface qui est généralement désignée pour les adresses IP publiques.

1. Choisissez **OK**. Sur la page **Settings**, la case **Enable** pour le tunnel doit être cochée par défaut. Un point vert indique que le tunnel fonctionne.

------

## Appareils Cisco : informations supplémentaires
<a name="cgw-static-routing-examples-cisco"></a>

Certains modes Cisco ASAs ne prennent en charge que Active/Standby le mode. Lorsque vous utilisez ces Cisco ASAs, vous ne pouvez avoir qu'un seul tunnel actif à la fois. L'autre tunnel en veille devient actif si le premier tunnel devient inaccessible. Avec cette redondance, l'un des tunnels devrait toujours assurer la connexion à votre VPC. 

Cisco ASAs à partir de la version 9.7.1 et du Active/Active mode de support ultérieur. Lorsque vous utilisez ces Cisco ASAs, les deux tunnels peuvent être actifs en même temps. Avec cette redondance, l'un des tunnels devrait toujours assurer la connexion à votre VPC.

Pour les périphériques Cisco, vous devez effectuer les opérations suivantes :
+ Configurer l'interface externe.
+ Vous assurer que le numéro de séquence de la stratégie ISAKMP du Crypto est unique.
+ Vous assurer que le numéro de séquence de la stratégie de la liste Crypto est unique.
+ Assurez-vous que le Crypto IPsec Transform Set et la Crypto ISAKMP Policy Sequence sont en harmonie avec tous IPsec les autres tunnels configurés sur l'appareil.
+ Vous assurer que le numéro de supervision du SLA est unique.
+ Configurer tous les routages internes qui acheminent le trafic entre le périphérique de passerelle client et votre réseau local.

# Fichiers de configuration de routage dynamique téléchargeables pour AWS Site-to-Site VPN le dispositif de passerelle client
<a name="cgw-dynamic-routing-examples"></a>

Pour télécharger un exemple de fichier de configuration avec des valeurs spécifiques à la configuration de votre connexion Site-to-Site VPN, utilisez la console Amazon VPC, la ligne de AWS commande ou l'API Amazon EC2. Pour de plus amples informations, veuillez consulter [Étape 6 : Téléchargement du fichier de configuration](SetUpVPNConnections.md#vpn-download-config).

Vous pouvez également télécharger des exemples de fichiers de configuration génériques pour le routage dynamique qui n'incluent pas de valeurs spécifiques à la configuration de votre connexion Site-to-Site VPN : [dynamic-routing-examples.zip](samples/dynamic-routing-examples.zip)

Les fichiers utilisent des valeurs d'espace réservé pour certains composants. Par exemple, ils utilisent :
+ Des exemples de valeurs pour l'ID de connexion VPN, l'ID de passerelle client et l'ID de passerelle réseau privé virtuel
+ Espaces réservés aux AWS points de terminaison d'adresses IP distants (*AWS\$1ENDPOINT\$11*et) *AWS\$1ENDPOINT\$12*
+ Un espace réservé pour l'adresse IP de l'interface externe routable par Internet sur le dispositif de passerelle client () *your-cgw-ip-address*
+ Un espace réservé pour la valeur de clé pré-partagée () pre-shared-key
+ Des exemples de valeurs pour le tunnel à l'intérieur des adresses IP.
+ Exemples de valeurs pour le paramètre MTU.

**Note**  
Les paramètres MTU fournis dans les exemples de fichiers de configuration ne sont que des exemples. Veuillez vous référer à [Bonnes pratiques pour un dispositif de passerelle AWS Site-to-Site VPN client](cgw-best-practice.md) pour obtenir des informations sur la définition de la valeur MTU optimale pour votre situation.

En plus de fournir des valeurs d'espace réservé, les fichiers spécifient les exigences minimales pour une connexion Site-to-Site VPN de AES128, SHA1, et du groupe Diffie-Hellman 2 dans la plupart des AWS régions, et AES128 SHA2, et du groupe Diffie-Hellman 14 dans les régions. AWS GovCloud Ils spécifient également des clés prépartagées pour l'[authentification](vpn-tunnel-authentication-options.md). Vous devez modifier l'exemple de fichier de configuration pour tirer parti des algorithmes de sécurité supplémentaires, des groupes Diffie-Hellman, des certificats privés et du trafic. IPv6 

Le diagramme suivant fournit une vue d'ensemble des différents composants configurés sur le périphérique de passerelle client. Il inclut des exemples de valeurs pour les adresses IP de l'interface tunnel.

![\[Périphérique de passerelle client avec routage dynamique\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/cgw-bgp.png)


# Configuration du routage dynamique pour un dispositif de passerelle AWS Virtual Private Network client
<a name="cgw-dynamic-routing-example-interface"></a>

Voici quelques exemples de procédures pour configurer un périphérique de passerelle client à l'aide de son interface utilisateur (si disponible).

------
#### [ Check Point ]

Voici les étapes à suivre pour configurer un appareil Check Point Security Gateway exécutant le R77.10 ou une version ultérieure, à l'aide du portail Web Gaia et de Check Point. SmartDashboard Pour de plus amples informations, veuillez consulter [Amazon Web Services (AWS) VPN BGP](https://support.checkpoint.com/results/sk/sk108958) sur le Centre de support Check Point.

**Pour configurer l'interface du tunnel**

La première étape consiste à créer les tunnels VPN et à fournir les adresses IP privées (internes) de la passerelle client et de la passerelle réseau privé virtuel pour chaque tunnel. Pour créer le premier tunnel, utilisez les informations fournies dans la section `IPSec Tunnel #1` du fichier de configuration. Pour créer le second tunnel, utilisez les valeurs fournies dans la section `IPSec Tunnel #2` du fichier de configuration. 

1. Connectez-vous à votre passerelle de sécurité via SSH. Si vous utilisez le shell autre que celui par défaut, choisissez clish en exécutant la commande suivante : `clish`

1. Définissez l'ASN de la passerelle client (l'ASN fourni lors de la création de la passerelle client AWS) en exécutant la commande suivante.

   ```
   set as 65000
   ```

1. Créez l'interface de tunnel pour le premier tunnel, en utilisant les informations fournies dans la section `IPSec Tunnel #1` du fichier de configuration. Fournissez un nom unique pour votre tunnel, tel que `AWS_VPC_Tunnel_1`.

   ```
   add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 
   set interface vpnt1 state on 
   set interface vpnt1 mtu 1436
   ```

1. Répétez ces commandes pour créer le second tunnel, à l'aide des informations fournies dans la section `IPSec Tunnel #2` du fichier de configuration. Fournissez un nom unique pour votre tunnel, tel que `AWS_VPC_Tunnel_2`.

   ```
   add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 
   set interface vpnt2 state on 
   set interface vpnt2 mtu 1436
   ```

1. Définissez l'ASN de la passerelle réseau privé virtuel.

   ```
   set bgp external remote-as 7224 on 
   ```

1. Configurez le protocole BGP pour le premier tunnel, à l'aide des informations fournies dans la section `IPSec Tunnel #1` du fichier de configuration :

   ```
   set bgp external remote-as 7224 peer 169.254.44.233 on 
   set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10
   ```

1. Configurez le protocole BGP pour le second tunnel, à l'aide des informations fournies dans la section `IPSec Tunnel #2` du fichier de configuration :

   ```
   set bgp external remote-as 7224 peer 169.254.44.37 on 
   set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10
   ```

1. Enregistrez la configuration.

   ```
   save config
   ```

**Pour créer une stratégie BGP**

Ensuite, créez une stratégie BGP qui autorise l'importation des acheminements publiés par AWS. Ensuite, configurez votre passerelle client pour publier ses acheminements locaux vers AWS.

1. Dans l'interface utilisateur Web de Gaia, sélectionnez **Advanced Routing**, **Inbound Route Filters**. Choisissez **Add**, puis sélectionnez **Add BGP Policy (Based on AS)**.

1. Pour **Add BGP Policy (Ajouter une stratégie BGP)**, sélectionnez une valeur comprise entre 512 et 1 024 dans le premier champ, puis saisissez l'ASN de la passerelle réseau privé virtuel dans le second champ (par exemple, `7224`).

1. Choisissez **Enregistrer**.

**Pour publier les itinéraires locaux**

Les étapes suivantes concernent la répartition des itinéraires locaux d'interface. Vous pouvez également redistribuer les routes à partir de différentes sources (par exemple, les routes statiques ou celles obtenues via les protocoles de routage dynamique). Pour de plus amples informations, veuillez consulter le manuel [Gaia Advanced Routing R77 Versions Administration Guide](https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm).

1. Dans l'interface utilisateur Web de Gaia, sélectionnez **Advanced Routing**, **Routing Redistribution**. Choisissez **Add Redistribution From (Ajouter une redistribution à partir de)** et sélectionnez **Interface**.

1. Pour **To Protocol (Vers le protocole)**, sélectionnez l'ASN de la passerelle réseau privé virtuel (par exemple, `7224`).

1. Pour **Interface**, sélectionnez une interface interne. Choisissez **Enregistrer**.

**Pour définir un nouvel objet réseau**

Ensuite, créez un objet réseau pour chaque tunnel VPN, en spécifiant les adresses IP publiques (externes) de la passerelle réseau privé virtuel. Par la suite, vous ajoutez ces objets réseau en tant que passerelles satellite pour votre communauté VPN. Vous devez également créer un groupe vide comme espace réservé du domaine VPN. 

1. Ouvrez le point de contrôle SmartDashboard.

1. Pour **Groups**, ouvrez le menu contextuel et choisissez **Groups**, **Simple Group**. Vous pouvez utiliser le même groupe pour chaque objet réseau.

1. Pour **Network Objects**, ouvrez le menu contextuel (clic droit) et choisissez **New**, **Interoperable Device**.

1. Pour **Name (Nom)**, entrez le nom attribué à votre tunnel à l'étape 1 : `AWS_VPC_Tunnel_1` ou `AWS_VPC_Tunnel_2`, par exemple.

1. Pour **IPv4 Adresse**, entrez l'adresse IP externe de la passerelle privée virtuelle fournie dans le fichier de configuration, par exemple,`54.84.169.196`. Enregistrez vos paramètres et fermez la boîte de dialogue.  
![\[Boîte de dialogue Check Point Interoperable Device\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/check-point-network-device.png)

1. Dans le volet de gauche des catégories, sélectionnez **Topology**. 

1. Dans la section **VPN Domain (Domaine VPN)**, choisissez **Manually defined (Défini manuellement)**, puis accédez au groupe simple vide que vous avez créé à l'étape 2 et sélectionnez-le. Choisissez **OK**.

1. Répétez ces étapes pour créer un second objet réseau, à l'aide des informations de la section `IPSec Tunnel #2` du fichier de configuration.

1. Accédez à votre objet réseau passerelle, ouvrez votre objet passerelle ou cluster, puis sélectionnez **Topology**.

1. Dans la section **VPN Domain (Domaine VPN)**, choisissez **Manually defined (Défini manuellement)**, puis accédez au groupe simple vide que vous avez créé à l'étape 2 et sélectionnez-le. Choisissez **OK**.
**Note**  
Vous pouvez conserver n'importe quel domaine VPN existant que vous avez configuré. Cependant, assurez-vous que les hôtes et les réseaux qui sont utilisés ou servis par la nouvelle connexion VPN ne sont pas déclarés dans ce domaine VPN, notamment si le domaine VPN est automatiquement dérivé.

**Note**  
Si vous utilisez des clusters, modifiez la topologie et définissez les interfaces comme interfaces de cluster. Utilisez les adresses IP spécifiées dans le fichier de configuration. 

**Pour créer et configurer la communauté VPN, l'IKE et IPsec les paramètres**

Ensuite, créez une communauté VPN sur votre passerelle Check Point et ajoutez-y les objets réseau (périphériques interopérables) de chaque tunnel. Vous configurez également l'échange de clés Internet (IKE) et IPsec les paramètres.

1. Dans les propriétés de votre passerelle, choisissez **IPSecVPN** dans le volet des catégories.

1. Choisissez **Communities**, **New**, **Star Community**.

1. Entrez un nom pour votre communauté (par exemple, `AWS_VPN_Star`), puis choisissez **Center Gateways** dans le volet des catégories.

1. Choisissez **Add**, puis ajoutez votre passerelle ou cluster à la liste des passerelles participantes.

1. Dans le volet des catégories, sélectionnez **Satellite Gateways (Passerelles satellites)**, **Add (Ajouter)**, puis ajoutez les périphériques interopérables que vous avez créés précédemment (`AWS_VPC_Tunnel_1` et `AWS_VPC_Tunnel_2`) à la liste des passerelles participantes.

1. Dans le volet des catégories, sélectionnez **Encryption**. Dans la section **Méthode de chiffrement**, choisissez **IKEv1 pour IPv4 et IKEv2 pour IPv6**. Dans la section **Encryption Suite**, choisissez **Custom**, **Custom Encryption**.
**Note**  
Vous devez sélectionner les options **IKEv1 pour IPv4 et IKEv2 pour IPv6** pour les IKEv1 fonctionnalités.

1. Dans la boîte de dialogue, configurez les propriétés de chiffrement comme suit, puis sélectionnez **OK** lorsque vous avez terminé :
   + Propriétés IKE Security Association (Phase 1) :
     + **Perform key exchange encryption with** : AES-128
     + **Perform data integrity with** : SHA-1
   + IPsec Propriétés de l'association de sécurité (phase 2) :
     + **Effectuez le chiffrement IPsec des données avec** : AES-128
     + **Perform data integrity with** : SHA-1

1. Dans le volet des catégories, sélectionnez **Tunnel Management**. Choisissez **Set Permanent Tunnels**, **On all tunnels in the community**. Dans la section **VPN Tunnel Sharing**, choisissez **One VPN tunnel per Gateway pair**.

1. Dans le volet des catégories, développez **Advanced Settings**, puis choisissez **Shared Secret**.

1. Sélectionnez le nom d'homologue du premier tunnel, choisissez **Edit (Modifier)** et entrez la clé prépartagée comme indiqué dans la section `IPSec Tunnel #1` du fichier de configuration.

1. Sélectionnez le nom d'homologue du second tunnel, choisissez **Edit (Modifier)** et entrez la clé prépartagée comme indiqué dans la section `IPSec Tunnel #2` du fichier de configuration.  
![\[Boîte de dialogue Check Point Interoperable Shared Secret\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/check-point-shared-secret.png)

1. Toujours dans la catégorie **Advanced Settings (Paramètres avancés)**, choisissez **Advanced VPN Properties (Propriétés de VPN avancées)**, configurez les propriétés comme suit et sélectionnez **OK** lorsque vous avez terminé :
   + IKE (Phase 1) :
     + **Use Diffie-Hellman group (Utiliser le groupe Diffie-Hellman)** : `Group 2 (1024 bit)`
     + **Renegotiate IKE security associations every** `480` **minutes**
   + IPsec (Phase 2) :
     + Choisissez **Use Perfect Forward Secrecy**
     + **Use Diffie-Hellman group (Utiliser le groupe Diffie-Hellman)** : `Group 2 (1024 bit)`
     + ****Renégociez les associations de IPsec sécurité toutes les secondes `3600`****

**Pour créer les règles de pare-feu**

Ensuite, configurez une stratégie avec les règles de pare-feu et les règles de correspondance directionnelle qui autorisent les communications entre le VPC et le réseau local. Puis, vous installez la stratégie sur votre passerelle.

1. Dans le SmartDashboard, choisissez **Propriétés globales** pour votre passerelle. Dans le volet des catégories, développez **VPN**, puis choisissez **Advanced**.

1. Choisissez **Enable VPN Directional Match in VPN Column**, puis **OK**.

1. Dans le SmartDashboard, choisissez **Firewall**, puis créez une politique avec les règles suivantes : 
   + Autoriser le sous-réseau VPC à communiquer avec le réseau local via les protocoles requis. 
   + Autoriser le réseau local à communiquer avec le sous-réseau VPC via les protocoles requis.

1. Ouvrez le menu contextuel de la cellule de la colonne VPN, puis choisissez **Edit Cell**. 

1. Dans la boîte de dialogue **VPN Match Conditions**, choisissez **Match traffic in this direction only**. Créez les règles de correspondance directionnelle suivantes en choisissant **Add (Ajouter)** pour chaque règle, puis **OK** lorsque vous avez terminé :
   + `internal_clear` > Communauté VPN (la communauté VPN que vous avez créée plus tôt : par exemple, `AWS_VPN_Star`)
   + Communauté VPN > Communauté VPN
   + Communauté VPN > `internal_clear`

1. Dans le SmartDashboard, choisissez **Policy**, **Install**. 

1. Dans la boîte de dialogue, sélectionnez votre passerelle, puis choisissez **OK** pour installer la stratégie.

**Pour modifier la propriété tunnel\$1keepalive\$1method**

Votre passerelle Check Point peut utiliser la détection d'homologue mort (DPD, Dead Peer Detection) pour savoir à quel moment une association IKE est arrêtée. Pour configurer DDP pour un tunnel permanent, le tunnel permanent doit être configuré dans la communauté AWS VPN.

Par défaut, la propriété `tunnel_keepalive_method` pour une passerelle VPN est définie sur `tunnel_test`. Vous devez modifier la valeur sur `dpd`. Chaque passerelle VPN de la communauté VPN qui nécessite une surveillance DPD doit être configurée avec la propriété `tunnel_keepalive_method`, notamment toute passerelle VPN tierce. Vous ne pouvez pas configurer différents mécanismes de surveillance pour la même passerelle.

Vous pouvez mettre à jour la `tunnel_keepalive_method` propriété à l'aide de l'DBedit outil Gui.

1. Ouvrez le point SmartDashboard de contrôle et choisissez **Security Management Server**, **Domain Management Server**.

1. Choisissez **File**, **Database Revision Control...** et créez un instantané de révision.

1. Fermez toutes les SmartConsole fenêtres, telles que le SmartDashboard SmartView Tracker et le SmartView Monitor.

1. Démarrez l'BDedit outil Gui. Pour plus d'informations, consultez l'article [Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009) sur le Centre de support Check Point. 

1. Choisissez **Security Management Server**, **Domain Management Server**.

1. Dans le volet supérieur gauche, choisissez **Table**, **Network Objects**, **network\$1objects**. 

1. Dans le volet supérieur droit, sélectionnez l'objet **Security Gateway**, **Cluster** approprié. 

1. Appuyez sur CTRL\$1F, ou utilisez le menu **Search** pour rechercher ce qui suit : `tunnel_keepalive_method`.

1. Dans le volet inférieur, ouvrez le menu contextuel pour `tunnel_keepalive_method` et sélectionnez **Edit...**. Choisissez **dpd**, puis **OK**.

1. Répétez les étapes 7 à 9 pour chaque passerelle faisant partie de la communauté AWS VPN.

1. Sélectionnez **File**, **Save As**.

1. Fermez l'DBedit outil Gui.

1. Ouvrez le point SmartDashboard de contrôle et choisissez **Security Management Server**, **Domain Management Server**.

1. Installez la stratégie sur l'objet **Security Gateway**, **Cluster** approprié.

Pour plus d'informations, consultez l'article [Nouvelles fonction VPN dans R77.10](https://support.checkpoint.com/results/sk/sk97746) sur le Centre de support Check Point.

**Pour activer la restriction TCP MSS**

La restriction TCP MSS réduit la taille de segment maximale des paquets TCP afin d'éviter la fragmentation des paquets.

1. Accédez au répertoire suivant : `C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\`.

1. Ouvrez Check Point Database Tool en exécutant le fichier `GuiDBEdit.exe`.

1. Choisissez **Table**, **Global Properties**, **properties**.

1. Pour `fw_clamp_tcp_mss`, choisissez **Edit**. Remplacez la valeur par `true`, puis choisissez **OK**.

**Pour vérifier l'état du tunnel**  
Vous pouvez vérifier l'état du tunnel en exécutant la commande suivante à partir de l'outil de ligne de commande en mode expert. 

```
vpn tunnelutil
```

Dans les options qui s'affichent, choisissez **1** pour vérifier les associations IKE et **2** pour vérifier les IPsec associations.

Vous pouvez aussi utiliser le journal Check Point Smart Tracker Log pour vérifier que les paquets de la connexion sont chiffrés. Par exemple, le journal suivant indique qu'un paquet adressé au VPC a été envoyé via le tunnel 1 et qu'il a été chiffré.

![\[Fichier journal Check Point\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/check-point-log.png)


------
#### [ SonicWALL ]

Vous pouvez configurer un appareil SonicWALL à l'aide de l'interface de gestion SonicOS. Pour plus d’informations sur la configuration des tunnels, consultez [Configuration du routage statique pour un dispositif de passerelle AWS Site-to-Site VPN client](cgw-static-routing-example-interface.md).

Vous ne pouvez pas configurer BGP pour le dispositif à l'aide de l'interface de gestion. À la place, utilisez les instructions de ligne de commande fournies dans l'exemple de fichier de configuration, sous la section nommée **BGP**.

------

## Appareils Cisco : informations supplémentaires
<a name="cgw-dynamic-routing-examples-cisco"></a>

Certains modes Cisco ASAs ne prennent en charge que Active/Standby le mode. Lorsque vous utilisez ces Cisco ASAs, vous ne pouvez avoir qu'un seul tunnel actif à la fois. L'autre tunnel en veille devient actif si le premier tunnel devient inaccessible. Avec cette redondance, l'un des tunnels devrait toujours assurer la connexion à votre VPC. 

Cisco ASAs à partir de la version 9.7.1 et du Active/Active mode de support ultérieur. Lorsque vous utilisez ces Cisco ASAs, les deux tunnels peuvent être actifs en même temps. Avec cette redondance, l'un des tunnels devrait toujours assurer la connexion à votre VPC.

Pour les périphériques Cisco, vous devez effectuer les opérations suivantes :
+ Configurer l'interface externe.
+ Vous assurer que le numéro de séquence de la stratégie ISAKMP du Crypto est unique.
+ Vous assurer que le numéro de séquence de la stratégie de la liste Crypto est unique.
+ Assurez-vous que le Crypto IPsec Transform Set et la Crypto ISAKMP Policy Sequence sont en harmonie avec tous IPsec les autres tunnels configurés sur l'appareil.
+ Vous assurer que le numéro de supervision du SLA est unique.
+ Configurer tous les routages internes qui acheminent le trafic entre le périphérique de passerelle client et votre réseau local.

## Appareils Juniper : informations supplémentaires
<a name="cgw-dynamic-routing-examples-juniper"></a>

Les informations suivantes s'appliquent aux exemples de fichiers de configuration pour les périphériques de passerelle client Juniper série J et SRX. 
+ L'interface extérieure est appelée*ge-0/0/0.0*.
+ L'interface IDs du tunnel est appelée *st0.1* et*st0.2*.
+ Vous assurer que vous identifiez la zone de sécurité pour l'interface de liaison montante (les informations de configuration utilisent la zone « untrust » par défaut).
+ Vous assurer que vous identifiez la zone de sécurité pour l'interface interne (les informations de configuration utilisent la zone « trust » par défaut).