Contents

Rubriques Connexes

Utiliser un réseau Branch Office VPN pour procéder à un basculement à partir d'une ligne privée (OSPF)

Cette rubrique propose un exemple d'une procédure de configuration d'un basculement depuis une ligne privée qui fait appel à un OSPF vers un réseau Branch Office VPN. Pour un aperçu du mode de fonctionnement du basculement vers un réseau Branch Office VPN, voir Configurer un réseau Branch Office VPN pour procéder à un basculement à partir d'une ligne privée.

Dans cet exemple, une entreprise dispose d'une ligne privée qui connecte des périphériques WatchGuard XTM sur deux sites : le site 1 et le site 2. Le routeur de la ligne louée est connecté au réseau approuvé sur chaque site. L'administrateur réseau de l'entreprise souhaite configurer entre les deux sites une connexion Branch Office VPN qui pourra être utilisée pour basculement au cas où la connexion via la ligne louée devient indisponible.

Le diagramme suivant illustre les paramètres de configuration à appliquer sur chacun des deux sites dans le cas de l'exemple présenté.

Diagramme du réseau qui illustre les adresses IP utilisées sur le site 1 et sur le site 2

Configuration réseau du site 1

Périphérique WatchGuard XTM sur le site 1 :

  • Adresse IP de l'interface externe : 203.0.113.2/24
  • Adresse IP de la passerelle par défaut : 203.0.113.1
  • Adresse IP de l'interface approuvée 1 : 10.0.1.1/24 — connexion établie avec le réseau approuvé du site 1
  • Adresse IP du réseau approuvé : 10.0.1.0/24
  • Adresse IP de l'interface approuvée 2 : 10.0.2.1/30 — connexion établie avec le routeur

Routeur connecté à la ligne privée et connecté à l'interface facultative du site 1 :

  • Adresse IP du réseau LAN : 10.0.2.2/30
  • Adresse IP du réseau WAN : 172.16.0.1

Configuration réseau du site 2

Périphérique WatchGuard XTM sur le site 2 :

  • Adresse IP de l'interface externe : 198.51.100.2/24
  • Adresse IP de la passerelle par défaut : 198.51.100.2.1
  • Adresse IP de l'interface approuvée 1 : 10.50.1.1/24 — connexion établie avec le réseau approuvé du site 2
  • Adresse IP du réseau approuvé : 10.50.1.0/24
  • Adresse IP de l'interface approuvée 2 : 10.50.2.1/30 — connexion établie avec le routeur

Routeur connecté à la ligne louée et connecté au réseau approuvé du site 2 :

  • Adresse IP du réseau LAN : 10.50.2.2/30
  • Adresse IP du réseau WAN : 172.16.0.2

Routes statiques

Il s'agit des routeurs situés à chaque extrémité de la ligne privée entre les deux périphériques XTM. Sur chaque site, vous devez configurer des routes statiques sur le périphérique XTM et aussi sur le routeur pour assurer le bon acheminement du trafic entre les deux réseaux.

Les routes statiques nécessaires sur le périphérique XTM et sur le routeur de chaque site sont illustrées ci-dessous.

Routes statiques sur le site 1

  Sur le périphérique XTM du site 1 Sur le routeur du site 1
Route en direction du périphérique XTM du site 2

Route vers : 10.50.2.0/30
Passerelle : 10.0.2.2

Réseau : 10.50.2.0/30
Saut suivant : 172.16.0.2
Route en direction du réseau approuvé du site 1

 

Réseau : 10.0.1.0/24
Saut suivant : 10.0.2.1
Route en direction du réseau approuvé du site 2  

Réseau : 10.50.1.0/24
Saut suivant : 172.16.0.2

Routes statiques sur le site 2

  Sur le périphérique XTM du site 2 Sur le routeur du site 2
Route en direction du périphérique XTM du site 1

Route vers : 10.0.2.0/30
Passerelle : 10.50.2.2

Réseau : 10.0.2.0/30
Saut suivant : 172.16.0.1
Route en direction du réseau approuvé du site 1  

Réseau : 10.0.1.0/24
Saut suivant : 172.16.0.1
Route en direction du réseau approuvé du site 2  

Réseau : 10.50.1.0/24
Saut suivant : 10.50.2.1

Pour plus d'informations sur la procédure d'ajout d'une route statique vers le périphérique XTM, voir Ajouter une Route Statique.

Pour plus d'informations sur la procédure d'ajout d'une route statique vers le périphérique XTM, voir Ajouter une Route Statique.

Après avoir configuré les routes statiques et vérifié que la communication se fait entre les périphériques, vous pouvez configurer le routage dynamique sur la liaison du réseau privé.

Configurer le routage dynamique sur le site 1

Pour utiliser la connexion Branch Office VPN pour basculement, vous devez activer le routage dynamique sur le périphérique XTM de chaque site. Vous pouvez utiliser n'importe quel protocole de routage dynamique pris en charge (RIP v1, RIP v2, OSPF, ou BGP v4). Dans le présent exemple, nous utilisons OSPF.

Pour activer le routage dynamique :

  1. Dans Policy Manager Web UI, sélectionnez Réseau > Routage dynamique.
    La boîte de dialoguepage Configuration du routage dynamique apparaît.
  2. Activez la case à cocher Activer le routage dynamique.
  3. Sélectionnez l'onglet OSPF.
  4. Cochez la case Activer OSPF.
  5. Dans la zone de texte de l'onglet OSPF, collez le texte de votre fichier de configuration de démon de routage, ou cliquez sur Importer pour importer un fichier de configuration.

Pour le site 1, le fichier de configuration de démon de routage OSPF contient le texte suivant : 

router ospf
ospf router-id 10.0.2.1
network 10.0.2.0/24 area 0
network 10.0.1.0/24 area 0

  1. Cliquez sur OK. Cliquez sur Enregistrer.

Ensuite, vous devez ajouter une stratégie autorisant les multidiffusions OSPF depuis le routeur de la ligne privée du site 1 vers les adresses de multidiffusion réservées utilisées par OSPF.

  1. Cliquez sur
    ou sélectionnez Modifier > Ajouter une stratégie.
  2. Sélectionnez Pare-feu > Stratégies de pare-feu.
    La page Stratégies de pare-feu s'affiche.
  3. Cliquez sur l'icône Ajouter une stratégie
    La page Sélectionner un type de stratégie s'affiche.
  4. Développez Filtres de paquets et sélectionnez OSPF.
  5. Cliquez sur Ajouter stratégie.
    La boîte de dialogue Propriétés de la nouvelle stratégie apparaît. La page Configuration de stratégie s'affiche.
  1. Configurez la stratégie de manière à autoriser le trafic provenant de l'adresse IP du réseau local (LAN) du routeur du site 1 (10.0.2.2) vers les adresses IP 224.0.0.5 et 224.0.0.6.

Pour plus d'informations sur la manière de définir les adresses d'origine et de destination d'une stratégie, voir Définir des Règles d'Accès pour une Stratégie.

  1. Cliquez sur OKEnregistrer.
  2. Configurez le routeur connecté à la ligne louée du site 1 de sorte qu'il autorise le protocole OSPF pour le routage dynamique.

Par exemple, si le site 1 utilise un routeur Cisco, ajoutez les lignes suivantes au fichier de configuration du routeur :

router ospf 1
log-adjacency-changes
network 172.16.0.0 0.0.0.255 area 0
network 10.0.2.0 0.0.0.255 area 0

  1. Après avoir configuré le routeur, ouvrez les Statistiques du trafic et des performances (Rapport d'état).
  2. Dans la section relative au routage dynamique, vérifiez que le périphérique XTM et le routeur sont connectés et qu'ils s'envoient mutuellement des mises à jour.
  3. Une fois le routeur configuré, sélectionnez État du système > Routes et vérifiez que le périphérique XTM et le routeur sont connectés et qu'ils s'envoient mutuellement des mises à jour.

Vous pouvez ensuite configurer l'authentification et restreindre la stratégie OSPF à l'écoute seule sur les interfaces appropriées.

WatchGuard fournit des instructions d'interopérabilité pour aider nos clients à configurer produits WatchGuard afin qu'ils fonctionnent avec des produits créés par d'autres organisations. Si vous avez besoin de plus d'informations ou d'un soutien technique concernant la configuration d'un produit autre que WatchGuard, consultez la documentation et les ressources de support de ce produit.

Configurer le routage dynamique sur le site 2

Pour configurer le routage dynamique avec OSPF sur le périphérique XTM du site 2, répétez les étapes décrites dans la section précédente.

  1. Sélectionnez  Réseau > Routage dynamique pour autoriser le routage dynamique avec OSPF sur le périphérique XTM du site 2.

Pour le site 2, le fichier de configuration de démon de routage OSPF contient le texte suivant :

router ospf
ospf router-id 10.50.2.2
network 10.50.2.0/24 area 0
network 10.50.1.0/24 area 0

  1. Ajoutez la stratégie OSPF de manière à autoriser le trafic de diffusion OSPF provenant de l'adresse IP du réseau local (LAN) du routeur du site 2 (10.50.2.2) vers les adresses IP 224.0.0.5 et 224.0.0.6.
  1. Configurez le routeur connecté à la ligne louée du site 2 de sorte qu'il autorise le protocole OSPF pour le routage dynamique.

Par exemple, si vous utilisez un routeur Cisco, ajoutez les lignes suivantes au fichier de configuration du routeur :

router ospf 1
log-adjacency-changes
network 172.16.0.0 0.0.0.255 area 0
network 10.50.2.0 0.0.0.255 area 0

  1. Après avoir configuré le routeur, ouvrez les Statistiques du trafic et des performances (Rapport d'état).
  2. Dans la section relative au routage dynamique, vérifiez que le périphérique XTM et le routeur sont connectés et qu'ils s'envoient mutuellement des mises à jour.
  3. Une fois le routeur configuré, sélectionnez État du système > Routes et vérifiez que le périphérique XTM et le routeur sont connectés et qu'ils s'envoient mutuellement des mises à jour.

Configurer le réseau Branch Office VPN sur le site 1

Dans le présent exemple, nous utilisons les paramètres de phase 1 et phase 2 par défaut.

Sur le site 1, configurer la passerelle du réseau Branch Office VPN sur le site 1

  1. Sélectionnez VPN > Passerelles Branch OfficeVPN > Branch Office VPN.
  2. À côté de la liste Passerelles, cliquez sur Ajouter. Cliquez sur Ajouter.
    La boîte de dialogue Nouvelle passerelle apparaît.La page Paramètres de passerelle apparaît.
  3. Dans la zone de texte Nom de la passerelle, entrez un nom permettant d'identifier la passerelle en question.
    Dans le présent exemple, entrez Passerelle vers le site 2.
  4. Sélectionnez Utiliser la clé pré-partagée. Saisissez une clé partagée à utiliser sur les deux périphériques.
  5. Dans la section Points de terminaison de passerelle, cliquez sur Ajouter.
    La boîte de dialogue Points de terminaison de la nouvelle passerelle Paramètres des points de terminaison de passerelle apparaît.
  1. Dans la section Passerelle locale, dans la zone de texte Par adresse IP, saisissez l'adresse IP d'interface externe du périphérique XTM du site 1, 203.0.113.2.
  2. Dans la section Passerelle distante, pour l'adresse IP de la passerelle distante, saisissez l'adresse IP de l'interface externe du périphérique XTM du site 2, 198.51.100.2.
  3. Dans la section Passerelle distante, pour l'ID de passerelle, saisissez l'adresse IP de l'interface externe du périphérique XTM du site 2, 198.51.100.2.
  4. Cliquez sur OK.
    Les points de terminaison de passerelle que vous avez ajoutés apparaissent dans la boîte de dialogue Nouvelle passerelle.
  5. Cliquez sur OK.

Sur le site 1, configurer le tunnel Branch Office VPN vers le site 2

  1. Sélectionnez VPN > Tunnels Branch Office.
  2. Cliquez sur Ajouter.
    La boîte de dialogue Nouveau tunnel s'affiche.
  3. Dans la zone de texte Nom de tunnel, entrez le nom du tunnel.
  4. Cliquez sur Ajouter.
    La boîte de dialogue Paramètres de route de tunnel s'affiche.
  1. Dans la section IP locale, sélectionnez IP réseau dans la liste déroulante Choisir le type.
  2. Dans la zone de texte IP réseau, saisissez l'adresse IP du réseau approuvé du site 1, 10.0.1.0/24.
  3. Dans la section IP distante, sélectionnez IP réseau dans la liste déroulante Choisir le type.
  4. Dans la zone de texte IP réseau, saisissez l'adresse IP du réseau approuvé du site 2, 10.50.1.0/24.
  5. Cliquez sur OK.
    La route du tunnel apparaît dans la boîte de dialogue Nouveau tunnel.
  1. Dans la zone de texte Local, saisissez l'adresse IP du réseau approuvé du site 1, 10.0.1.0/24.
  2. Dans la zone de texte Distant, saisissez l'adresse IP du réseau approuvé du site 2, 10.50.1.0/24.
  3. Cliquez sur OK.
    La route du tunnel apparaît dans la boîte de dialogue Nouveau tunnel.

Sur le site 1, configurer les paramètres VPN globaux afin d'autoriser le basculement

  1. Sélectionnez VPN > Paramètres VPN globaux.
    La boîte de dialogue Paramètres VPN globaux apparaît.
  1. Cochez la case Activer l'utilisation de routes personnalisées (statiques ou dynamiques) pour déterminer si IPSec est utilisé.
  2. Cliquez sur OKEnregistrer.
  3. Enregistrez la configuration dans le périphérique.

Configurer le réseau Branch Office VPN sur le site 2

Configurez le réseau Branch Office VPN sur le site 2 avec les mêmes paramètres que sur le site 1.

Sur le site 2, configurer la passerelle Branch Office VPN vers le site 1

  1. Sélectionnez VPN >  Passerelles Branch Office.
  2. Cliquez sur Ajouter.
    La boîte de dialogue Nouvelle passerelle s'affiche.
  3. Dans la zone de texte Nom de la passerelle, entrez un nom permettant d'identifier la passerelle en question.
    Dans cet exemple, tapez Passerelle site 2.
  4. Sélectionnez Utiliser la clé pré-partagée. Saisissez une clé partagée à utiliser sur les deux périphériques.
  5. Dans la section Points de terminaison de passerelle, cliquez sur Ajouter.
    La boîte de dialogue Points de terminaison de la nouvelle passerelle apparaît.
  1. Dans la section Passerelle locale, saisissez l'adresse IP de l'interface externe du périphérique XTM du site 2, 198.51.100.2.
  2. Dans la section Passerelle distante, pour l'adresse IP de la passerelle distante, saisissez l'adresse IP de l'interface externe du périphérique XTM du site 1, 203.0.113.2.
  3. Dans la section Passerelle distante, pour l'ID de passerelle, saisissez l'adresse IP de l'interface externe du périphérique XTM du site 1, 203.0.113.2.
  4. Cliquez sur OK.
    Les points de terminaison de passerelle que vous avez ajoutés apparaissent dans la boîte de dialogue Nouvelle passerelle.
  5. Cliquez sur OK.

Sur le site 2, configurer le tunnel Branch Office VPN vers le site

  1. Sélectionnez VPN > Tunnels Branch Office.
  2. Cliquez sur Ajouter.
    La boîte de dialogue Nouveau tunnel s'affiche.
  3. Dans la zone de texte Nom de tunnel, entrez le nom du tunnel.
  4. Cliquez sur Ajouter.
    La boîte de dialogue Paramètres de route de tunnel s'affiche.
  1. Dans la section IP locale, sélectionnez IP réseau dans la liste déroulante Choisir le type.
  2. Dans la zone de texte IP réseau, saisissez l'adresse IP du réseau approuvé du site 2, 10.50.1.0/24.
  3. Dans la section IP distante, sélectionnez IP réseau dans la liste déroulante Choisir le type.
  4. Dans la zone de texte IP réseau, saisissez l'adresse IP du réseau approuvé du site 1, 10.0.1.0/24.
  5. Cliquez sur OK.
    La route du tunnel apparaît dans la boîte de dialogue Nouveau tunnel.
  1. Dans la zone de texte Local, saisissez l'adresse IP du réseau approuvé du site 2, 10.50.1.0/24.
  2. Dans la zone de texte Distant, saisissez l'adresse IP du réseau approuvé du site 1, 10.0.1.0/24.
  3. Cliquez sur OK.
    La route du tunnel apparaît dans la boîte de dialogue Nouveau tunnel.

Sur le site 2, configurer les paramètres VPN globaux afin d'autoriser le basculement

  1. Sélectionnez VPN > Paramètres VPN globaux.
    La boîte de dialogue Paramètres VPN globaux apparaît.
  1. Cochez la case Activer l'utilisation de routes personnalisées (statiques ou dynamiques) pour déterminer si IPSec est utilisé.
  2. Cliquez sur OKEnregistrer.
  3. Enregistrez la configuration dans le périphérique.

Voir aussi

Configurer un réseau Branch Office VPN pour procéder à un basculement à partir d'une ligne privée

Utiliser un réseau Branch Office VPN pour le basculement à partir d'une ligne privée (BGP)

Envoyer Vos Commentaires     Obtenir de l'Aide     Documentation Complète des Produits     Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.