Contents

Rubriques Connexes

À propos des Tunnels Branch Office VPN Manuels

Un réseau privé virtuel (VPN, Virtual Private Network) crée des connexions sécurisées entre des ordinateurs ou des réseaux situés à des emplacements différents. Chaque connexion est appelée un tunnel. Lorsqu'un tunnel VPN est créé, les deux points de terminaison du tunnel s'authentifient mutuellement. Les données dans le tunnel sont chiffrées, afin que seuls l'expéditeur et le destinataire du trafic puissent les lire.

Un réseaux BOVPN (Branch Office Virtual Private Network) permet aux entreprises de fournir une connectivité sécurisée et chiffrée entre des agences séparées géographiquement. Les réseaux et les hôtes d'un tunnel BOVPN peuvent être des sièges sociaux, des succursales, des points de terminaison basés sur le nuage, tels que Microsoft Azure ou Amazon AWS, des utilisateurs distants ou des télétravailleurs. Les communications BOVPN contiennent souvent les types de données critiques échangés au sein du pare-feu de l'entreprise. Dans ce scénario, un réseau BOVPN fournit des connexions confidentielles entre ces bureaux. Cela rationalise la communication, réduit le coût des lignes dédiées et préserve la sécurité à chaque point de terminaison.

Les tunnels BOVPN manuels offrent beaucoup d'options supplémentaires. Un tunnel BOVPN géré est un autre type de tunnel BOVPN que vous pouvez créer entre vos périphériques gérés de manière centralisée à l'aide de la fonction glisser-déplacer ou d'un assistant. Pour des informations sur ce type de tunnel, voir Tunnels Branch Office VPN Gérés (WSM).

Tous les réseaux Branch Office VPN de WatchGuard utilisent la suite du protocole IPSec pour sécuriser le tunnel BOVPN. Le tunnel Branch Office VPN doit être connecté à une interface externe au périphérique à chaque extrémité du tunnel. Pour plus d'informations concernant les tunnels VPN IPSec, consultez Fonctionnement des VPN IPSec.

BOVPN - Exigences et Planification

Pour créer un Branch Office VPN entre un Firebox et toute autre passerelle VPN IPSec :

  • Vous devez posséder deux Firebox ou un Firebox et une passerelle VPN IPSec tierce.
  • Les deux passerelles doivent chacune avoir une interface avec une connexion à Internet.
  • Vous devez savoir si l'adresse IP attribuée à l'autre périphérique VPN est statique ou dynamique. Si l'autre périphérique VPN a une adresse IP dynamique, votre Firebox doit le localiser par son nom de domaine et l'autre périphérique doit utiliser le service DNS dynamique pour associer le nom de domaine à une adresse IP.
  • Le fournisseur de services Internet de chaque périphérique VPN doit autoriser le trafic IPSec à traverser ses réseaux.
    Certains fournisseurs de services Internet ne vous permettent pas de créer de tunnels VPN sur leurs réseaux à moins de passer à un niveau de service Internet qui prenne en charge les tunnels VPN. Pour que le VPN fonctionne correctement, assurez-vous que les ports et protocoles suivants sont autorisés :
    • Port UDP 500 (IKE ou Internet Key Exchange)
    • Port UDP 4500 (Parcours NAT)
    • Protocole IP 50 (ESP ou Encapsulating Security Payload)

Avant de pouvoir configurer un Branch Office VPN, vous devez choisir les paramètres de tunnel et de passerelle VPN à utiliser et vous devez connaître les adresses IP des réseaux privés dont vous souhaitez envoyer et recevoir le trafic via le tunnel :

  • Pour utiliser IKEv2 entre deux Firebox, les deux doivent utiliser Fireware v11.11.2 ou une version ultérieure.
  • Pour utiliser une clé pré-partagée comme méthode d'identification, vous devez connaître la clé partagée (mot de passe) pour le tunnel. La même clé partagée doit être utilisée par les deux périphériques. La clé partagée peut comporter jusqu'à 79 caractères.
  • Pour utiliser un certificat comme méthode d'identification, le même certificat doit être installé sur les deux points de terminaison.
  • Vous devez connaître la méthode de chiffrement utilisée pour le tunnel (3DES, AES 128 bits, AES 192 bits ou AES 256 bits). Les deux périphériques VPN doivent utiliser la même méthode de chiffrement.
  • Vous devez connaître la méthode d'authentification utilisée à chaque point de terminaison du tunnel (MD5, SHA-1, SHA2-256, SHA2-384, SHA2-512). Les deux périphériques VPN doivent utiliser la même méthode d'authentification.
  • Vous devez connaître les adresses réseau des réseaux privés (approuvés) qui se trouvent derrière votre Firebox et celle du réseau qui se trouve derrière l'autre périphérique VPN, ainsi que leurs masques de sous-réseau.
  • Si l'une des adresses IP privées des ordinateurs situés derrière votre Firebox est identique aux adresses IP des ordinateurs situés de l'autre côté du tunnel VPN, vous pouvez utiliser le routage 1-to-1 NAT pour masquer les adresses IP afin d'éviter un conflit. Pour plus d'informations, voir Configurer 1-to-1 NAT via un Tunnel Branch Office VPN.

Nous vous conseillons d'enregistrer les informations concernant la configuration du Firebox local et les informations concernant la passerelle VPN distante à laquelle vous souhaitez vous connecter. Voir le Tableau d'exemple d'informations d'adresse VPN pour obtenir une liste des informations à collecter. Vous pouvez également enregistrer ou imprimer la configuration BOVPN pour faciliter la comparaison des paramètres. Pour plus d'informations, voir Utiliser les Rapports de Configuration BOVPN.

Options de Configuration du Tunnel BOVPN

Un tunnel BOVPN manuel peut être configuré de deux manières. La méthode que vous choisissez détermine la façon dont Firebox va décider si le trafic doit transiter par le tunnel.

Configurer une Passerelle BOVPN et ajouter des Tunnels BOVPN

Vous pouvez configurer une passerelle BOVPN et ajouter un ou plusieurs tunnels BOVPN qui l'utilisent. Cette option vous permet de configurer un tunnel BOVPN entre deux Firebox ou entre un Firebox et un autre périphérique qui utilise les mêmes paramètres de passerelle et de tunnels. Lorsque vous utilisez cette méthode de configuration, le Firebox routera systématiquement un paquet via le tunnel BOVPN si la source et la destination du paquet correspondent à un tunnel BOVPN configuré.

Pour voir comment configurer des passerelles et tunnels BOVPN dans Policy Manager, visionnez le didacticiel vidéo Branch Office VPN (12 minutes).

Pour plus d'informations sur la configuration des paramètres de tunnel et de passerelle, consultez

Configurer une Interface Virtuelle BOVPN

Pour les périphériques WatchGuard qui utilisent Fireware v11.8 ou une version ultérieure, vous pouvez configurer un BOVPN comme interface virtuelle BOVPN puis ajouter des routes qui passent par l'interface virtuelle. Lorsque vous utilisez cette méthode de configuration, le Firebox route un paquet via le tunnel en fonction de l'interface de sortie du paquet. Vous pouvez sélectionner une interface virtuelle BOVPN comme destination lorsque vous configurez les stratégies. L'envoi du trafic réalisé par le Firebox via le tunnel VPN est affecté par les routes statiques et dynamiques, et par le routage basé sur les stratégies.

Pour plus d'informations, voir À propos des Interfaces Virtuelles BOVPN.

Stratégies de tunnel personnalisées

Lorsque vous configurez un tunnel BOVPN, Firebox ajoute automatiquement de nouveaux tunnels VPN aux stratégies BOVPN-Allow.in et BOVPN-Allow.out. Ces stratégies autorisent l'ensemble du trafic à passer par le tunnel. Si vous préférez ne pas utiliser ces stratégies, vous pouvez créer à la place des stratégies VPN personnalisées pour n'autoriser que certains types de trafic à emprunter le tunnel. Pour plus d'informations, voir Définir des Stratégies de Tunnel Personnalisées.

Tunnels unidirectionnels

Si vous voulez créer un tunnel VPN qui n'autorise le trafic que dans un sens, vous pouvez configurer le tunnel afin qu'il utilise une NAT dynamique sortante. Cela peut s'avérer utile lorsque vous créez un tunnel vers un site distant où tout le trafic VPN provient d'une adresse IP publique. Pour plus d'informations, voir Configurer la Traduction d'Adresses Réseau (NAT) Dynamique pour le Trafic Sortant via un Tunnel Branch Office VPN.

Basculement VPN

Les tunnels VPN basculent automatiquement sur l'interface WAN de sauvegarde au cours d'un basculement WAN. Vous pouvez configurer des tunnels BOVPN pour qu'ils puissent basculer vers le point de terminaison d'un pair de sauvegarde si le point de terminaison principal n'est plus disponible. Pour configurer les paramètres de basculement, vous devez définir au moins un point de terminaison de secours, tel que décrit dans Configurer le basculement VPN.

paramètres VPN généraux

Les paramètres VPN globaux de votre Firebox s'appliquent aux tunnels BOVPN manuels, aux interfaces virtuelles BOVPN, aux tunnels BOVPN gérés et aux tunnels Mobile VPN. Vous pouvez utiliser ces paramètres pour :

  • Activer la fonction Passthru IPSec
  • Effacer ou conserver les paramètres des paquets lorsque les bits Type de service (TOS) sont définis
  • Activer l'utilisation de routes personnalisées pour déterminer si IPSec est utilisé
  • Désactiver ou activer la stratégie IPSec intégrée
  • Utiliser un serveur LDAP pour vérifier les certificats
  • Configurer le Firebox de sorte qu'il envoie une notification lorsqu'un tunnel BOVPN est hors-service (tunnels BOVPN uniquement)

Pour modifier ces paramètres, dans Policy Manager, sélectionnez VPN > Paramètres VPN. Pour modifier ces paramètres, dans Fireware Web UI, sélectionnez VPN > Paramètres globaux. Pour plus d'informations sur ces paramètres, voir À propos des paramètres VPN globaux.

État du Tunnel BOVPN

Vous pouvez consulter l'état actuel des tunnels BOVPN dans l'onglet Panneau avant de Firebox System Manager ou l'onglet État du Périphérique de WatchGuard System Manager lorsque vous êtes connecté à votre périphérique. Pour plus d'informations, voir État du tunnel VPN et des services d'abonnement.

Pour afficher l'état actuel des tunnels BOVPN, dans Fireware Web UI, sélectionnez État du Système > Statistiques VPN. Pour plus d'informations, voir Statistiques VPN.

Renouveler la clé des tunnels BOVPN

Si vous ne voulez pas attendre que vos clés pour le tunnel BOVPN expirent, vous pouvez utiliser Firebox System Manager pour générer immédiatement de nouvelles clés pour vos tunnels BOVPN. Pour plus d'informations, voir Forcer le renouvellement d'une clé de tunnel BOVPN.

Voir aussi

Configurer 1-to-1 NAT via un Tunnel Branch Office VPN

Branch Office VPN (Vidéo)

Envoyer Vos Commentaires     Obtenir de l'Aide     Documentation Complète des Produits     Recherche Technique