IKEv2 (RFC 7296, 2014) : moderne, plus sécurisé, supporte EAP/multi-domain identity, NAT-T natif, MOBIKE pour mobilité. IKEv1 : legacy, à abandonner. Toujours utiliser IKEv2 en 2026.

Quels algorithmes 2026 ?

AES-256-GCM (chiffrement + intégrité combinés), SHA-384 (intégrité), DH groupe 19 ou 20 (ECC P-256/P-384). Éviter : DES, 3DES, MD5, SHA-1, DH groupe 1/2/5.

IPsec VPN site-à-site : configuration détaillée

April 15, 2026·3 min read·599 words

Le VPN IPsec site-à-site est la technique standard for interconnecter 2 sites via Internet with confidentialité and intégrité. Compatible tous vendors (Cisco, FortiGate, Palo Alto, pfSense, Juniper). Ce guide couvre IKEv1/v2, Phase 1/Phase 2, algorithmes recommandés 2026, configurations multi-vendor, dépannage.

Vue d'ensemble IPsec

Protocole : ESP (Encapsulating Security Payload) for chiffrement + intégrité
AH (Authentication Header) : intégrité seule, rarement used
Modes : Tunnel (site-à-site standard) or Transport (host-to-host)
Ports : UDP 500 (IKE), UDP 4500 (NAT-T), ESP (IP protocol 50)

IKE (Internet Key Exchange)

IKEv1

2 phaits distinctes
Main Mode (6 messages) or Aggressive Mode (3 messages, moins sécurisé)
Legacy mais toujours supporté for compat

IKEv2 (recommandé)

RFC 7296, 2014
4 messages seulement
Supporte EAP (auth par certificat or username/password)
Dead Peer Detection (DPD) natif
Mobility (MOBIKE) : client peut changer d'IP without reneg
Recommandation : toujours IKEv2 en 2026

Phase 1 (IKE SA)

Établit canal sécurisé for négocier Phase 2 :

Auth : pre-shared key (PSK) or certificats X.509
Encryption : AES-256-GCM (recommandé), AES-256-CBC (legacy)
Integrity : SHA-256 or SHA-384 (SHA-1 déprécié)
DH Group : 14 (2048 bit) minimum, 19 (ECP-256) or 20 (ECP-384) recommandé
Lifetime : 86400s (1 jour) typique

Phase 2 (IPsec SA)

Négocie paramètres de chiffrement for le trafic data :

Encryption : AES-256-GCM (recommandé)
PFS (Perfect Forward Secrecy) : groupe DH distinct de Phase 1
Lifetime : 3600s or 4096 KB rekey
Proxy IDs / Traffic Selectors : IP/subnets autorisés dans le tunnel

Suite cryptographique recommandée 2026

Phase 1 : IKEv2, AES-256-GCM, SHA-384, DH 19 (ECP-256)
Phase 2 : ESP AES-256-GCM, PFS DH 19
À éviter : DES, 3DES, MD5, SHA-1, DH 1/2/5 (<1024 bit)
NIST SP 800-77 Rev 1 for détails authentic

Configuration FortiGate (IKEv2)

config vpn ipsec phase1-interface
edit "VPN-PARIS-LYON"
set interface "wan1"
set ike-version 2
set peertype any
set remote-gw 203.0.113.2
set psksecret MyPresharedKey
set proposal aes256gcm-sha384
set dhgrp 19
end
config vpn ipsec phase2-interface
edit "VPN-PARIS-LYON-P2"
set phase1name "VPN-PARIS-LYON"
set proposal aes256gcm-sha384
set dhgrp 19
set src-subnet 192.168.1.0 255.255.255.0
set dst-subnet 10.10.1.0 255.255.255.0
end

Configuration Cisco IOS (IKEv2)

crypto ikev2 proposal IKEV2-PROP
encryption aes-gcm-256
integrity sha384
group 19
crypto ikev2 policy IKEV2-POL
proposal IKEV2-PROP
crypto ikev2 keyring KEYRING1
peer SITE2
address 203.0.113.2
pre-shared-key MyPresharedKey
crypto ipsec transform-set TS esp-gcm 256
mode tunnel
crypto map CMAP 10 ipsec-isakmp
set peer 203.0.113.2
set transform-set TS
match address VPN-ACL

NAT Traversal (NAT-T)

IPsec with NAT cassait historiquement (ESP pas de ports)
NAT-T : encapsule ESP dans UDP 4500
Détection : les 2 peers envoient of vendor IDs NAT-D, voient si NAT entre
Activé par défaut sur tous les vendors modernes

VPN site-à-site vs mesh

Hub-and-spoke

Tous les sites établissent VPN vers HQ uniquement. Simple to maintenir mais trafic inter-site suboptimal.

Full mesh

Tunnel VPN entre chaque paire. N(N-1)/2 tunnels. Ne scale pas au-delà de 10-15 sites.

ADVPN (FortiGate) / Auto-VPN (Cisco)

Tunnels inter-spoke créés dynamiquement to la demande. Scale to 500+ sites.

SD-WAN VPN mesh

Tous les WAN Edge établissent IPsec dynamique via controller orchestration. Standard en 2026.

Alternatives modernes

WireGuard : VPN simple, rapide, plus léger que IPsec
OpenVPN : SSL-based, firewall-friendly
GRE over IPsec : for supporter multicast/broadcast
DMVPN : Cisco mesh dynamic

Troubleshooting

diagnose vpn ike gateway list (FortiGate) : phase 1
diagnose vpn tunnel list (FortiGate) : phase 2
show crypto ikev2 its (Cisco) : phase 1
show crypto ipsec its (Cisco) : phase 2
debug crypto ikev2 error : debug niveau
Problèmes fréquents : PSK mismatch, proposals mismatch, NAT-T non activé, firewall bloque UDP 500/4500

Commander chez OPTINOC

Configuration IPsec site-à-site multi-vendor (FortiGate, Cisco, Palo Alto, Juniper, pfSense). Audit crypto suites (abandon DES/3DES/SHA-1). ADVPN/Auto-VPN. Devis sous 48h.