BOVPN sur un Firebox Derrière un Périphérique Assurant la NAT

Il est recommandé que l'interface externe du Firebox ait une adresse IP publique. Si l'interface externe de votre Firebox a une adresse IP privée parce que votre FAI fait la traduction d'adresses réseau (NAT) ou parce que votre Firebox est connecté à un périphérique qui fait la NAT, un périphérique VPN distant ne peut pas utiliser cette adresse IP privée pour les connexions VPN au Firebox.

Cependant, vous pouvez toujours configurer des tunnels VPN car le Firebox peut utiliser le parcours NAT (NAT-T). Cette rubrique explique comment configurer les tunnels BOVPN lorsque le périphérique NAT auquel le Firebox se connecte possède une adresse IP publique dynamique ou statique.

Exigences

Ports

Les périphériques NAT possèdent généralement des fonctionnalités de pare-feu de base. Pour créer un tunnel VPN vers le Firebox lorsque celui-ci se trouve derrière un périphérique NAT, le périphérique NAT doit laisser passer le trafic. Les ports et protocoles suivants doivent être ouverts sur le périphérique NAT :

Port UDP 500 (IKE)
Port UDP 4500 (Parcours NAT)

Parcours NAT (NAT-T)

Vous devez activer NAT-T sur le Firebox et l'autre périphérique d'endpoint VPN. Lorsque NAT-T est activé, le Firebox et l'autre périphérique d'endpoint VPN peuvent détecter le périphérique NAT et acheminer les paquets de données ESP bruts sous forme de paquets ESP encapsulés dans des paquets UDP 4500. Les paquets encapsulés peuvent ensuite être NATés.

Dans la capture des paquets pcap de ce trafic, seul le trafic UDP 500 survenant lors de la configuration BOVPN est visible, suivi du trafic UDP 4500 de tous les paquets de données.

Il est inutile de spécifier des adresses IP privées dans les paramètres de Phase 1 sur le Firebox ou sur l'autre périphérique d'endpoint VPN. La section suivante illustre comment spécifier un identifiant de passerelle différent d'une adresse IP.

Si le périphérique NAT auquel le Firebox se connecte dispose d'une adresse IP publique dynamique

Dans ce cas, nous recommandons l'une des deux options suivantes :

Option 1 - Utiliser le DNS dynamique :

À propos du service DNS dynamique.
Configurez les Paramètres Généraux d'une passerelle BOVPN.
Dans les paramètres de Phase 1 de la configuration de la passerelle BOVPN, sélectionnez Parcours NAT.

Capture d'écran des Paramètres de Phase 1

Paramètres de Phase 1 dans Web UI

Screen shot of the NAT Traversal setting

Paramètres de Phase 1 dans Policy Manager

Définir des endpoints de passerelle pour une passerelle BOVPN et spécifiez l'option suivante pour l'identifiant de passerelle :

Dans Web UI, sélectionnez Par Nom de Domaine.
Dans Policy Manager, sélectionnez Informations Par Domaine.

Saisissez le nom de domaine du prestataire de service DNS dynamique en tant qu'identifiant local. Le périphérique distant doit identifier votre Firebox par nom de domaine et doit utiliser le nom de domaine du prestataire de service DNS dynamique associé à votre Firebox.

Screen shot of the gateway endpoint settings

Paramètres d'Enpoints de Passerelle dans Web UI

Screen shot of the gateway endpoint settings

Paramètres d'Endpoint de Passerelle dans Policy Manager

Configurez les autres paramètres BOVPN indiqués à la section Définir des endpoints de passerelle pour une passerelle BOVPN.
Configurer des Tunnels BOVPN Manuels.

Option 2 - Spécifier un identifiant de passerelle non résoluble :

Vous pouvez spécifier n'importe quel type d'identifiant de passerelle et n'importe quel identifiant de passerelle, mais les identifiants de passerelles locales et distantes doivent correspondre comme suit :

L'identifiant de passerelle locale du Firebox A et l'identifiant de passerelle distante du Firebox B doivent correspondre.
L'identifiant de passerelle locale du Firebox B et l'identifiant de passerelle distante du Firebox A doivent correspondre.

À propos du service DNS dynamique.
Configurez les Paramètres Généraux d'une passerelle BOVPN.
Dans les paramètres de Phase 1 de la configuration de la passerelle BOVPN, sélectionnez Parcours NAT.
Définir des endpoints de passerelle pour une passerelle BOVPN et spécifiez l'option suivante pour l'identifiant de passerelle :

Dans Web UI, sélectionnez Par Nom de Domaine.
Dans Policy Manager, sélectionnez Informations Par Domaine.

Dans la zone de texte adjacente, saisissez les lettres, chiffres ou caractères à utiliser pour l'identifiant de passerelle. Par exemple, vous pouvez saisir le nom test.

Screen shot of the domain name setting

Paramètres d'Enpoints de Passerelle dans Web UI

Screen shot of the domain name settings

Paramètres d'Identifiant de Domaine de Passerelle dans Policy Manager

Screen shot of the domain setting

Paramètres d'Endpoint de Passerelle dans Policy Manager

Configurez les autres paramètres BOVPN indiqués à la section Définir des endpoints de passerelle pour une passerelle BOVPN.
Configurer des Tunnels BOVPN Manuels.

Nous recommandons que le trafic soit toujours généré par des périphériques protégés par le pare-feu NAT-T. Le Firebox qui se trouve derrière le périphérique NAT avec une adresse IP publique dynamique doit initier la connexion VPN si le périphérique NAT se voit attribuer une nouvelle adresse IP. Ceci est nécessaire pour que le périphérique distant sache comment contacter le Firebox.

Si le périphérique NAT auquel le Firebox se connecte dispose d'une adresse IP publique statique :

Pour une connexion VPN à un Firebox distant derrière un périphérique NAT, spécifiez l'adresse IP publique statique du périphérique NAT dans les paramètres de connexion VPN.

Par exemple, vous avez deux Firebox A et B. Le Firebox B est situé derrière un périphérique NAT à l'adresse IP publique statique 192.0.2.1. Dans les paramètres d'Endpoint de Passerelle Distante du Firebox A, indiquez l'adresse IP 192.0.2.1.

Pour l'identifiant de passerelle, indiquez tout sauf un nom de domaine résolvable. Par exemple, vous pouvez saisir test ou ID-123. Vous pouvez spécifier n'importe quel type d'identifiant de passerelle et n'importe quel identifiant de passerelle, mais les identifiants de passerelles locales et distantes doivent correspondre comme suit :

L'identifiant de passerelle locale du Firebox A et l'identifiant de passerelle distante du Firebox B doivent correspondre.
L'identifiant de passerelle locale du Firebox B et l'identifiant de passerelle distante du Firebox A doivent correspondre.

Configuration

Sur un Firebox situé derrière un périphérique NAT possédant une adresse IP publique statique, configurez les paramètres BOVPN suivants :

À propos du service DNS dynamique
Configurez les Paramètres Généraux d'une passerelle BOVPN.
Dans les paramètres de Phase 1 de la configuration de la passerelle BOVPN, sélectionnez Parcours NAT.
Définir des endpoints de passerelle pour une passerelle BOVPN et spécifiez l'option suivante pour l'identifiant de la passerelle distante :

Dans Web UI, sélectionnez Par Nom de Domaine.
Dans Policy Manager, sélectionnez Informations Par Domaine.

Spécifiez un identifiant de passerelle non résoluble.

Paramètres de l'enpoint de passerelle

Paramètres d'Enpoints de Passerelle Distante dans Web UI

Screen shot of the Remote Gateway settings

Paramètres d'Enpoints de Passerelle Distante dans Policy Manager

Configurez les autres paramètres BOVPN indiqués à la section Définir des endpoints de passerelle pour une passerelle BOVPN.
Configurer des Tunnels BOVPN Manuels.

Voir Également

Configurer des Passerelles BOVPN Manuelles

© 2025 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.