Configurer un Réseau Externe d'un Firebox

S'applique À : Fireboxes Gérés sur le Cloud

Pour un Firebox géré sur le cloud, un réseau externe spécifie les paramètres quant à la manière dont le Firebox se connecte à un réseau non protégé par le Firebox tel qu'Internet. Les paramètres du réseau externe spécifient les interfaces qui se connectent au réseau externe ainsi que la méthode employée par le Firebox pour obtenir une adresse IP externe.

Afin de maintenir une connexion à WatchGuard Cloud, la configuration du Firebox doit posséder un réseau externe et un serveur DNS valides.

WARNING: Si une modification de la configuration du Firebox ou du réseau externe entraîne l'interruption de la connexion du Firebox à WatchGuard Cloud, vous pouvez utiliser la Web UI du Firebox pour restaurer la connexion. Pour de plus amples informations, accédez à Restaurer la Connexion d'un Firebox à WatchGuard Cloud.

Un réseau Externe se trouve dans la zone Externe. Il s'agit d'un membre de l'alias intégré Any-External. Pour plus d'informations sur les alias, accédez à Configurer les Alias d'un Firebox.

Modifier ou Ajouter un Réseau Externe

Par défaut, un Firebox géré sur le cloud possède un réseau externe. Vous pouvez modifier le réseau externe par défaut et ajouter des réseaux supplémentaires.

Pour ouvrir la configuration des Réseaux, à partir de WatchGuard Cloud :

  1. Sélectionnez Configurer > Périphériques.
  2. Sélectionnez le Firebox géré sur le cloud.
  3. Cliquez sur Configuration du Périphérique.
  4. Cliquez sur la mosaïque Réseaux.
    La page de configuration des Réseaux s'ouvre.

Screen shot of the Networks tiles on the Networks configuration page

Pour modifier un réseau Externe, à partir de WatchGuard Cloud :

  1. Sur la page Réseaux, cliquez sur la mosaïque du réseau externe à modifier.
    La page Configuration du Réseau s'ouvre.
  2. Configurez les paramètres du réseau, comme indiqué à la section suivante.
  3. Pour enregistrer les modifications de configuration sur le cloud, cliquez sur Enregistrer.

Pour ajouter un réseau Externe, à partir de WatchGuard Cloud :

  1. En haut de la page Réseaux, cliquez sur Ajouter un Réseau.
  2. Dans la liste déroulante, sélectionnez Ajouter un Réseau Externe.
    La page Ajouter un Réseau Externe s'affiche.

  1. Dans la zone de texte Nom, saisissez le nom du réseau.
  2. Configurez les autres paramètres réseau comme indiqué dans la section suivante.
  3. Pour enregistrer les modifications de configuration sur le cloud, cliquez sur Enregistrer.

Configurer les Paramètres Réseau (IPv4)

Dans l'onglet Réseau, vous pouvez configurer l'adresse IPv4 du réseau, les paramètres VLAN et les interfaces associées.

Configurer les Paramètres d'Adresse du Réseau

Pour un réseau Externe, vous pouvez attribuer une adresse IP statique ou configurer le Firebox de manière à utiliser DHCP ou PPPoE pour obtenir une adresse IP.

Pour configurer le réseau externe d'un Firebox de manière à utiliser une adresse statique, à partir de WatchGuard Cloud :

  1. Ajoutez ou modifiez un réseau externe.
  2. Dans la liste déroulante Configuration de l'Adresse IP, sélectionnez Adresse IP Statique.

Screen shot of the static IP address settings for an external network

  1. Dans la zone de texte Adresse IP, saisissez l'adresse IP et le masque de réseau à utiliser pour ce réseau.
  2. Dans la zone de texte Passerelle, saisissez l'adresse IP de la passerelle par défaut.

Pour configurer un réseau externe Firebox de manière à utiliser DHCP pour obtenir une adresse IP, à partir de WatchGuard Cloud :

  1. Ajoutez ou modifiez un réseau externe.
  2. Dans la liste déroulante Configuration de l'Adresse IP, sélectionnez DHCP.

Screen shot of the DHCP IP address settings for an external network

  1. Indiquez si vous souhaitez attribuer une adresse IP spécifique.
    • Pour configurer le Firebox de manière à ce qu'il demande une adresse IP à un serveur DHCP, sélectionnez Obtenir une adresse IP automatiquement.
    • Pour attribuer manuellement une adresse IP au Firebox, sélectionnez Utiliser cette adresse IP puis saisissez l'adresse IP à utiliser.
  2. Si votre Fournisseur de Services Internet ou le serveur DHCP externe exige un identifiant client tel qu'une adresse MAC, saisissez ces informations dans la zone de texte Nom du Client.
  3. Saisissez un nom d'hôte pour l'identification dans la zone de texte Nom d'Hôte.
  4. Pour afficher les paramètres DHCP avancés, cliquez sur Paramètres DHCP Avancés.

Screen shot of the Advanced DHCP settings

  1. Pour modifier la durée du bail DHCP, dans la zone de texte Durée du Bail, saisissez le nombre de secondes.

Vous pouvez également activer l'option Forcer le Renouvellement DHCP. Cette fonctionnalité permet à Firebox de gérer un message FORCERENEW à partir de votre fournisseur de Services Internet ou DHCP. Le serveur DHCP envoie un message FORCERENEW pour demander que le client DHCP renouvelle l'adresse IP privée plus tôt que d'ordinaire, sur la base de la durée du bail configurée. Si votre fournisseur de Services Internet ou DHCP demande à ce que vous activiez cette option, il pourrait également indiquer une clé partagée. La clé partagée est facultative, mais recommandée. Si vous spécifiez une clé partagée, elle doit correspondre à la clé partagée du message FORCERENEW. Si vous ne spécifiez pas une clé partagée, le Firebox répond à tout message FORCERENEW, qu'une clé partagée soit présente ou pas.

Pour permettre au Firebox de gérer une demande DHCP FORCERENEW, depuis WatchGuard Cloud :

  1. Dans les Paramètres DHCP Avancés, sélectionnez la case à cocher Forcer le Renouvellement DHCP.
    La zone de texte Clé Partagée s'affiche.
  2. (Facultatif) Dans la zone de texte Clé Partagée, saisissez la clé partagée. La clé partagée est cryptée et enregistrée dans la configuration du Firebox.

Screen shot of the DHCP Force Renew settings

Certains FAI attribuent leurs adresses IP via PPPoE (Point-to-Point Protocol over Ethernet). Si votre ISP utilise PPPoE, vous devez saisir les informations PPPoE sur votre Firebox afin qu'il puisse transmettre du trafic via l'interface externe.

À Propos des Connexions PPPoE Non Numérotées

Pour les connexions PPPoE non numérotées des FAI pris en charge qui vous fournissent une adresse IP, vous devez saisir une adresse IP spécifique de ce réseau dans la configuration PPPoE de l'interface externe du Firebox. Le Firebox ne prend pas en charge l'IP réseau ou l'IP de diffusion d'un sous-réseau en tant qu'adresse IP obtenue dynamiquement. Dans les Propriétés PPPoE Avancées, vous devez également sélectionner l'option Envoyer et appliquer l'adresse IP statique du client PPPoE pendant la négociation PPPoE, qui configure le périphérique de manière à envoyer l'adresse IP du client PPPoE au serveur PPPoE, et utiliser l'adresse IP configurée même si une autre adresse IP est obtenue du serveur PPPoE.

Pour configurer un réseau externe de manière à utiliser PPPoE pour obtenir une adresse IP, à partir de WatchGuard Cloud :

  1. Ajoutez ou modifiez un réseau externe.
  2. Dans la liste déroulante Configuration de l'Adresse IP, sélectionnez PPPoE.

Screen shot of the PPPoE settings for an external network

  1. Indiquez si vous souhaitez attribuer une adresse IP spécifique.
    • Pour configurer le Firebox de manière à ce qu'il demande une adresse IP à un serveur PPPoE, sélectionnez Obtenir une adresse IP automatiquement.
    • Pour attribuer manuellement une adresse IP au Firebox, sélectionnez Utiliser cette adresse IP puis saisissez l'adresse IP à utiliser.
  2. Dans la zone de texte Nom d'Utilisateur, saisissez le nom d'utilisateur pour l'authentification PPPoE. Astuce !
  3. Dans la zone Mot de Passe, saisissez le mot de passe d'authentification PPPoE. Pour afficher le mot de passe au fur et à mesure de votre saisie, cliquez sur .

Après avoir enregistré les paramètres, il est impossible de consulter le mot de passe précédemment enregistré. Vous pouvez uniquement en définir un nouveau.

  1. Pour afficher les paramètres PPPoE avancés, cliquez sur Paramètres PPPoE Avancés.

Dans les paramètres PPPoE avancés, vous pouvez configurer :

  • Paramètres de Connexion
  • Paramètres des Nouvelles Tentatives
  • Paramètres d'Authentification

Dans les Paramètres de Connexion PPPoE, sélectionnez l'une des options suivantes pour configurer le moment où le Firebox se connecte au serveur PPPoE :

Toujours actif

Sélectionnez cette option si vous souhaitez que le Firebox maintienne une connexion PPPoE constante. Il n'est pas nécessaire pour le trafic réseau de passer par le réseau externe.

Si vous sélectionnez cette option, dans la zone de texte Intervalle avant nouvelle tentative d'initialisation PPPoE, saisissez le nombre de secondes pendant lesquelles PPPoE peut tenter de s'initialiser avant que l'opération n'expire. La valeur par défaut est 60 secondes.

Screen shot of the Advanced PPPoE Connection Settings

Connexion à la demande

Sélectionnez cette option si vous souhaitez que le Firebox se connecte au serveur PPPoE uniquement lorsqu'il reçoit une requête d'envoi de trafic vers une adresse IP du réseau externe. Si votre fournisseur de services Internet réinitialise régulièrement la connexion, sélectionnez cette option.

Si vous sélectionnez cette option, dans la zone de texte Délai d'Inactivité, saisissez le nombre de secondes pendant lesquelles un client peut rester connecté lorsqu'aucun trafic n'est envoyé.

Screen shot of the PPPoE Dial on Demand settings

Dans les Paramètres des Nouvelles Tentatives PPPoE, configurez les paramètres des nouvelles tentatives PPPoE.

Screen shot of the Advanced PPPoE Retry Settings

Pour configurer les paramètres des nouvelles tentatives PPPoE, à partir de WatchGuard Cloud :

  1. Si votre fournisseur de Services Internet exige l'indicateur Host-Uniq pour les paquets de découverte PPPoE, cochez la case Utiliser l'indicateur Host-Uniq dans les paquets de découverte PPPoE.
  2. Pour utiliser les requêtes d'écho LCP pour détecter les connexions PPPoE perdues, cochez la case Utiliser les requêtes d'écho LCP pour détecter les connexions PPPoE perdues.
    Cette option est activée par défaut.
  3. Dans la zone de texte Tentatives d'écho LCP avant échec, saisissez ou sélectionnez le nombre de requêtes d'écho LCP devant échouer avant que la connexion PPPoE soit considérée comme inactive et fermée. La valeur par défaut est de 6 tentatives.
  4. Dans la zone de texte Délai d'expiration d'écho LCP, saisissez ou sélectionnez le délai, en secondes, au cours duquel la réponse de chaque délai d'écho doit être reçue. La valeur par défaut est de 10 secondes.
  5. Pour configurer le Firebox pour qu'il redémarre automatiquement la connexion PPPoE, cochez la case Heure programmée pour le redémarrage automatique.
    Les cases à cocher Jour et Heure de Redémarrage s'affichent.
  6. Dans la liste déroulante Jour, sélectionnez le jour de la semaine correspondant au redémarrage hebdomadaire.
  7. Sélectionnez Heure de Redémarrage pour spécifier l'heure et la minute de la journée (au format 24 heures) du redémarrage automatique de la connexion PPPoE.

Screen shot of the scheduled restart settings

Dans les Paramètres d'Authentification PPPoE, configurez les paramètres permettant au Firebox de s'authentifier sur le serveur PPPoE.

Screen shot of the Advanced PPPoE Authentication Settings

Pour configurer les paramètres d'authentification PPPoE, à partir de WatchGuard Cloud :

  1. Dans la zone de texte Nom de service, saisissez un nom de service PPPoE.
    Il peut s'agir d'un nom d'un fournisseur de services Internet ou d'une classe de service configurée sur le serveur PPPoE. Cette option n'est généralement pas utilisée. Sélectionnez cette option uniquement s'il existe plusieurs concentrateurs d'accès ou si vous devez utiliser un nom de service spécifique.
  2. Dans la zone de texte Nom du Concentrateur d'Accès, saisissez le nom d'un concentrateur d'accès PPPoE, appelé également serveur PPPoE. Cette option n'est généralement pas utilisée. Sélectionnez cette option uniquement s'il existe plusieurs concentrateurs d'accès.
  3. Dans la zone de texte Nouvelles tentatives d'authentification, saisissez ou sélectionnez le nombre de tentatives de connexion que peut réaliser le Firebox.
    La valeur par défaut est trois tentatives de connexion.
  4. Dans la zone de texte Délai d'expiration d'authentification, saisissez le nombre de secondes entre les nouvelles tentatives de connexion.
    La valeur par défaut est 20 secondes.

Les paramètres d'Authentification comprennent également les paramètres de négociation de l'adresse IP et du DNS de PPPoE.

Screen shot of the Advanced PPPoE negotiation settings

Pour configurer les paramètres de négociation PPPoE, à partir de WatchGuard Cloud :

  1. Si vous configurez les paramètres PPPoE pour utiliser une adresse IP statique, sélectionnez l'une de ces options pour la négociation des adresses IP PPPoE :
    • Envoyer l'adresse IP statique du client PPPoE pendant la négociation PPPoE — Cette option permet au périphérique d'envoyer l'adresse IP du client PPPoE au serveur PPPoE pendant la négociation PPPoE. Cela est le paramètre par défaut.
    • Ne pas envoyer l'adresse IP statique du client PPPoE pendant la négociation PPPoE — Cette option configure le périphérique de manière à de ne pas envoyer l'adresse IP du client PPPoE au serveur PPPoE.
    • Envoyer et appliquer l'adresse IP statique du client PPPoE pendant la négociation PPPoE — Cette option configure le périphérique pour envoyer l'adresse IP du client PPPoE au serveur PPPoE, et utiliser l'adresse IP configurée même si une autre adresse IP est obtenue du serveur PPPoE.
  2. Pour configurer le Firebox pour négocier le DNS avec le serveur PPPoE, cochez la case Négocier le DNS avec serveur PPPoE. Cette option est activée par défaut. Si vous ne voulez pas que le périphérique négocie le DNS, décochez cette case. Astuce !

Pour de plus amples informations concernant les serveurs DNS du Firebox, accédez à Configurer les Paramètres DNS d'un Firebox.

Configurer les Paramètres VLAN

Vous pouvez configurer n'importe quel réseau Firebox en tant que réseau local virtuel (VLAN). Lorsque vous activez le VLAN pour un réseau externe, toutes les interfaces associées au réseau sont configurées de manière à gérer le trafic VLAN marqué par défaut. Vous pouvez modifier chaque interface afin de spécifier si elle gère le trafic VLAN marqué ou non marqué de ce réseau.

Pour de plus amples informations, accédez à Configurer les VLAN d'un Firebox.

Configurer les Interfaces Réseau

Dans les paramètres réseau, vous sélectionnez les interfaces Firebox associées au réseau.

Lorsque vous ajoutez un réseau externe, l'interface disponible présentant le chiffre le plus faible est automatiquement associée au réseau.

Dans les paramètres d'un réseau, la section Interfaces indique les interfaces actuellement associées au réseau ainsi que les interfaces disponibles.

Screen shot of the Interfaces settings for a network

La couleur de l'icône d'interface indique l'état de l'interface quant à ce réseau.

Icône d'interface blanche L'interface est associée à un autre réseau
Icône d'interface bleue L'interface est associée à ce réseau
Icône d'interface grise. L'interface peut être associée à ce réseau

Pour consulter les réseaux associés à une interface, placez le curseur de la souris sur Afficher les Réseaux pour l'interface.

Par défaut, toutes les interfaces sont associées à un réseau. Avant d'associer une interface à un autre réseau, vous devez la supprimer du réseau auquel elle était précédemment associée.

Si vous associez plusieurs interface à un réseau, le trafic réseau est ponté entre toutes les interfaces associées.

Pour configurer les paramètres d'interface d'un réseau, à partir de WatchGuard Cloud :

  1. Dans la mosaïque d'une interface associée ou disponible, cliquez sur .

  1. Sélectionnez l'une de ces options :
  • Aucun Trafic — Supprime l'interface de ce réseau.
  • Ajouter le Trafic Réseau — Ajoute l'interface en tant que première interface associée à ce réseau.
  • Trafic Réseau Ponté — Ajoute cette interface à un réseau possédant déjà une autre interface ou un SSID associé.

Pour un VLAN, les options d'interface sont VLAN Non Marqué ou VLAN Marqué. Pour plus d'informations, consultez Configurer les VLAN d'un Firebox.

Configurer IPv6

Dans l'onglet IPv6, vous pouvez activer IPv6 pour le réseau, ajouter une ou plusieurs adresses IPv6 à la configuration et configurer d'autres paramètres IPv6.

Dans Fireware v12.9.2 ou une version ultérieure, vous pouvez utiliser une adresse statique IPv6 pour configurer une interface lorsque vous disposez d'une adresse lien-local comme passerelle par défaut.

Pour de plus amples informations concernant les formats d'adresses IPv6, accédez à À Propos d'IPv6.

Pour activer IPv6, à partir de WatchGuard Cloud :

  1. Sélectionnez l'onglet IPv6.
  2. Sélectionnez Activer IPv6.
  3. Cliquez sur Ajouter une Adresse IPv6 Statique.
    La boîte de dialogue Ajouter une Adresse IPv6 Statique s'ouvre.
  4. Dans la zone de texte Adresse IP, saisissez l'adresse IPv6 et la longueur du préfixe.
  5. Cliquez sur Ajouter.
  6. Pour ajouter d'autres adresses IPv6, répétez les Étapes 3 à 5.
  7. Pour modifier une adresse IPv6, cliquez dessus.
  8. (Facultatif) Pour attribuer automatiquement une adresse de liaison locale IPv6 à cette interface, sélectionnez Configuration Automatique des Adresses IP.
  9. (Facultatif) Pour autoriser les clients DHCPv6 à demander une adresse IPv6, sélectionnez Client DHCPv6. Par défaut, les clients DHCPv6 utilisent un échange à quatre messages (solicit, advertise, request, reply).
  10. (Facultatif) Pour autoriser les clients DHCPv6 à utiliser un échange à deux messages (solicit, reply) pour demander une adresse IPv6, sélectionnez Validation Rapide.
  11. (Facultatif) Pour autoriser les clients DHCPv6 à demander un préfixe IPv6, sélectionnez Activer la Délégation de Préfixe Client DHCPv6.
  12. (Facultatif) Pour autoriser les clients DHCPv6 à utiliser un échange à deux messages (solicit, reply) pour demander un préfixe, sélectionnez Validation Rapide.
  13. Saisissez la Passerelle par Défaut.
  14. Saisissez la Limite de Saut, à savoir le nombre de segments réseau parcourable par un paquet avant d'être refusé par un routeur. La valeur par défaut est 64.
  15. Saisissez les Transmissions DAD, à savoir le nombre de transmissions de Détection d'Adresse Dupliquée de cette liaison. La valeur par défaut est 1.

Screen shot of the IPv6 configuration for an external network

Configurer la Surveillance de Liaison

Dans l'onglet Surveillance de Liaison, vous pouvez activer la surveillance de liaison. Lorsque la surveillance de liaison est activée, le Firebox transmet le trafic vers une cible de surveillance de liaison afin de tester la connectivité réseau.

Pour de plus amples informations, accédez à Configurer la Surveillance de Liaison Réseau d'un Firebox.

Configurer le DNS Dynamique

Dans l'onglet DNS Dynamique, vous pouvez activer le DNS dynamique (DDNS) et configurer une connexion à un fournisseur de services DDNS. WatchGuard Cloud prend en charge différents fournisseurs de services DDNS.

Pour de plus amples informations, accédez à Configurer le DNS Dynamique.

Configurer les Paramètres Avancés

Dans l'onglet Avancé, vous pouvez configurer les paramètres réseau suivants :

  • Accès à la Web UI
  • Ping
  • Contrôle d'Accès MAC
  • Réseaux Secondaires

Pour de plus amples informations, accédez à Configurer les Paramètres Réseau Avancés.

Configurer l'Agrégation des Liaisons

Un groupe d'agrégation des liaisons (ou LAG) est un groupe d'interfaces physiques que vous configurez afin qu'elles fonctionnent ensemble, comme une interface logique simple. Vous pouvez utiliser une interface LAG pour augmenter le débit cumulé au-delà de la capacité d'une seule interface physique et pour fournir une redondance en cas de défaillance d'une liaison physique. Pour de plus amples informations, accédez à À Propos de l'Agrégation des Liaisons dans WatchGuard Cloud.

Pour ajouter un LAG à un réseau Externe existant ou nouveau :

  1. Ajouter ou modifier un réseau Externe conformément aux instructions présentes dans Modifier ou Ajouter un Réseau Externe.
  2. Dans la section Interfaces, vous pouvez supprimer l'interface réseau actuellement associée au réseau de la configuration pour rendre cette interface disponible pour l'agrégation des liaisons. Définissez l'interface sur Aucun Trafic pour supprimer l'interface du réseau.

    Lorsque vous ajoutez un réseau externe, l'interface disponible présentant le chiffre le plus faible est automatiquement associée au réseau.

    Lorsque vous supprimez la seule interface sélectionnée pour un réseau, un message d'avertissement "You need at least one interface associated to this network." (Vous avez besoin d'au moins une interface associée à ce réseau.) s'affiche. Vous pouvez continuer à ajouter un LAG et vos interfaces LAG sélectionnées au réseau dans les étapes suivantes.

  1. Dans la section Groupes d'Agrégation des Liaisons (LAG), cliquez sur Ajouter un LAG.
  2. Dans la zone de texte Nom, saisissez un nom pour la configuration LAG. Vous pouvez utiliser ce nom dans les stratégies du Firebox comme vous le feriez pour tout autre nom d'interface.
  3. Dans la liste déroulante Mode, sélectionnez le mode d'agrégation des liaisons à utiliser. Vous pouvez sélectionner Statique, Dynamique (802.3ad) ou Sauvegarde Active. Pour de plus amples informations concernant les modes d'agrégation des liaisons, consultez la section Modes d'Agrégation des Liaisons dans À Propos de l'Agrégation des Liaisons dans WatchGuard Cloud.
  4. Cliquez sur Suivant.
    La page Sélectionner des Interfaces s'ouvre.
  5. Sélectionnez les interfaces que vous souhaitez ajouter au LAG pour ce réseau.

La liste des interfaces contient uniquement les interfaces disponibles et non utilisées par un autre réseau.

  1. Cliquez sur Terminé.
    La configuration LAG apparaît dans la section Groupes d'Agrégation des Liaisons (LAG) du réseau.

Pour de plus amples informations, accédez à Configurer l'Agrégation des Liaisons dans WatchGuard Cloud.

Rubriques Connexes

À Propos des Paramètres de Réseaux du Firebox