Configurer un BOVPN Entre des Fireboxes Gérés sur le Cloud

S'applique À : Fireboxes Gérés sur le Cloud

Pour configurer un BOVPN entre deux Fireboxes gérés sur le cloud appartenant au même compte WatchGuard Cloud, vous créez une configuration BOVPN partagée. Lorsque vous ajoutez ou mettez à jour un BOVPN entre deux Fireboxes gérés sur le cloud, les paramètres de configuration BOVPN se déploient automatiquement afin que les deux Fireboxes puissent les télécharger.

Pour configurer un BOVPN entre des Fireboxes gérés sur le cloud n'appartenant pas au même compte WatchGuard Cloud, vous devez configurer le BOVPN séparément pour chaque Firebox. Pour de plus amples informations, accédez à Configurer un BOVPN Vers un Firebox Géré Localement ou un Endpoint VPN Tiers.

Lorsque vous ajoutez un BOVPN entre deux Fireboxes gérés sur le cloud, vous configurez :

Passerelles VPN — Les réseaux externes que les deux périphériques utilisent pour se connecter.
Certificat — (Facultatif) Certificat IPSec du Firebox utilisé pour l'authentification du tunnel. Pour de plus amples informations, accédez à Certificats pour l'Authentification des Tunnels Branch Office VPN (BOVPN) dans l'Aide Fireware.
NAT — (Facultatif) Lorsque vous créez un tunnel BOVPN entre deux réseaux utilisant la même plage d'adresses IP privées, il existe un conflit d'adresses IP. Pour créer un tunnel sans ce conflit, pour chaque endpoint, vous pouvez ajouter NAT au VPN. Ce paramètre crée une correspondance entre une ou plusieurs adresses IP d'une plage et une autre plage d'adresses IP de même taille. À chaque adresse IP de la première plage correspond une adresse IP de la seconde plage.
Ressources Réseau — Réseaux pouvant envoyer et recevoir du trafic via le tunnel.
Adresse IP Virtuelle — (Recommandé) Obligatoire si vous souhaitez :
Ajouter le BOVPN à une action SD-WAN.
Configurer un BOVPN à route zéro.
Répondre au trafic généré par le Firebox via le tunnel. Par exemple, DNS et DHCP, Dimension, Syslog, SNMP, NTP, l'authentification (Active Directory, LDAP et RADIUS) et d'autres connexions établies par le Firebox vers des ressources via le tunnel.

Dans Fireware v12.9 et les versions ultérieures, le comportement de contrôle d'usurpation d'IP du Firebox est modifié, et le Firebox abandonne désormais le trafic provenant d'une deuxième interface Externe en cas d'attaque d'usurpation. Les contrôles d'usurpation s'appliquent également aux Interfaces Virtuelles BOVPN, et si vous n'avez pas configuré les adresses IP des interfaces virtuelles BOVPN, le trafic semble provenir de l'IP publique de l'endpoint distant. Pour de plus amples informations concernant cette modification de comportement du contrôle d'usurpation, consultez la Base de Connaissances WatchGuard.

Activer les Paramètres de Bit Ne Pas Fragmenter (DF) — (Facultatif) Contrôlez si le Firebox utilise le paramètre de bit DF d'origine dans l'en-tête d'un paquet.
Configurer la MTU du Tunnel — (Facultatif) Utilisez une unité de transmission maximale (MTU) personnalisée.

Tous les paramètres de sécurité du VPN sont configurés automatiquement avec les mêmes paramètres afin que les périphériques puissent établir une connexion.

BOVPN et Routage

Dans la configuration BOVPN, vous spécifiez les ressources réseau accessibles via le tunnel BOVPN. Les ressources sélectionnées d'un endpoint deviennent des routes statiques sur l'autre endpoint, avec le BOVPN en tant que passerelle. La distance (métrique) que vous spécifiez pour chaque ressource figure dans la table de routage. Le Firebox utilise la table de routage pour déterminer s'il doit transmettre le trafic via le tunnel BOVPN.

Si vous voulez spécifier les ressources réseau des deux endpoints au sein du même sous-réseau, vous devez utiliser la NAT. Si vous n'utilisez la NAT, il vous est impossible de router le trafic via un tunnel BOVPN entre des réseaux privés employant la même plage d'adresses IP.

Pour un VPN entre un Firebox et un endpoint VPN géré localement ou tiers :

Les ressources réseau que vous spécifiez pour l'endpoint distant spécifient le trafic que le Firebox route via le tunnel. Ces routes deviennent des routes statiques sur le Firebox géré sur le cloud avec le BOVPN faisant office de passerelle.
Les ressources réseau que vous spécifiez pour le Firebox sont les ressources que vous souhaitez faire router par l'endpoint distant via le tunnel VPN vers le Firebox. Les ressources que vous spécifiez ici ne limitent pas le trafic que le Firebox accepte via le tunnel VPN. Afin que le Firebox puisse recevoir le trafic VPN vers ces ressources, l'endpoint distant doit être configuré de manière à router le trafic destiné à ces adresses IP via le tunnel.

Adresses IP Virtuelles

Une adresse IP virtuelle est une adresse IP non liée à une interface physique. Pour un BOVPN dans WatchGuard Cloud (une interface virtuelle BOVPN), une adresse IP virtuelle fait office de passerelle (saut suivant). L'adresse IP virtuelle est utilisée pour le trafic généré par le Firebox et le trafic de réponse transmis directement à l'interface virtuelle BOVPN.

Bien qu'une adresse IP virtuelle ne soit requise que dans certains scénarios, nous vous recommandons de toujours configurer une adresse IP virtuelle pour un BOVPN. Cette configuration garantit que le trafic est acheminé via le tunnel comme prévu.

Vous devez configurer l'adresse IP virtuelle dans les cas suivants :

SD-WAN

Avant d'ajouter un BOVPN à une action SD-WAN, vous devez configurer le BOVPN avec une adresse IP virtuelle /32 pour les deux endpoints. La surveillance de liaison BOVPN est implicitement activée lorsque vous configurez des adresses IP hôtes /32 en tant qu'adresse IP virtuelle des deux endpoints. Un BOVPN dont la surveillance de liaison n'est pas activée (qui ne dispose pas d'adresses IP virtuelles /32 valides sur les deux endpoints) ne peut pas être sélectionné dans une action SD-WAN.

Pour plus d'informations sur SD-WAN, accédez à Configurer SD-WAN.

Routage Nul

Si vous ajoutez une ressource réseau BOVPN à route nulle (0.0.0.0/0), une route par défaut qui transmet l'ensemble du trafic réseau (y compris le trafic destiné à WatchGuard Cloud) via le tunnel VPN est créée. Pour un Firebox géré sur le cloud, vous devez saisir les adresses IP virtuelles dans la configuration BOVPN de manière à ce que le trafic de retour utilise le tunnel VPN.

Caution: Si vous ajoutez une ressource réseau BOVPN à route nulle et que l'endpoint VPN distant ne peut pas router le trafic du Firebox géré sur le cloud vers WatchGuard Cloud, il devient impossible de gérer ou surveiller le Firebox.

Trafic Généré par le Firebox

Le Firebox lui-même génère du trafic via le tunnel. Le trafic généré par le Firebox est également connu sous le nom de « trafic autogénéré ».

Vous devez saisir une adresse IP virtuelle /32 pour chaque endpoint afin que les réponses au trafic généré par le Firebox utilisent le tunnel VPN. N'utilisez pas l'adresse IP ailleurs sur le Firebox. Vous n'avez pas besoin d'utiliser une adresse IP provenant des routes du tunnel. Des exemples de trafic généré par le Firebox incluent le trafic DNS et DHCP, Dimension, Syslog, SNMP, NTP, l'authentification (Active Directory, LDAP et RADIUS) et d'autres connexions établies par le Firebox vers des ressources via le tunnel.

BOVPN et Déploiement Automatique

Lorsque vous ajoutez, modifiez ou supprimez un BOVPN, WatchGuard Cloud crée automatiquement un nouveau déploiement que les deux Fireboxes peuvent télécharger. Pour chaque Firebox, le déploiement automatique contient les paramètres BOVPN mis à jour. Pour confirmer que le déploiement automatique contient uniquement des modifications de configuration BOVPN, il est impossible d'enregistrer les modifications BOVPN si l'un ou l'autre des périphériques présente d'autres modifications de configuration non déployées.

Avant d'ajouter, de modifier ou de supprimer un BOVPN entre deux Fireboxes appartenant au même compte, assurez-vous qu'aucun des Fireboxes ne présente de modification non déployée.

Ajouter un BOVPN Entre des Fireboxes Gérés sur le Cloud Appartenant au Même Compte

Vous pouvez ajouter un BOVPN sur la page BOVPN d'un Firebox spécifique, ou sur la page VPN, qui est une page de configuration partagée. Pour de plus amples informations, accédez à Gérer les BOVPN des Fireboxes Gérés sur le Cloud.

Pour ajouter un BOVPN, à partir de WatchGuard Cloud :

Pour ouvrir la page BOVPN, utilisez l'une des méthodes suivantes :
- Pour gérer les BOVPN de tous les Fireboxes du compte actuellement sélectionné, sélectionnez Configurer > VPN.
- Pour gérer les BOVPN d'un Firebox spécifique, sur la page Configuration du Périphérique, cliquez sur la mosaïque Branch Office VPN.
Sur l'une des pages BOVPN, cliquez sur la mosaïque Branch Office VPN.
La page BOVPN indique les BOVPN actuellement configurés.

Screen shot of the BOVPN page with no BOVPNs added

Cliquez sur Ajouter un BOVPN.
La page Ajouter un BOVPN s'ouvre.

Screen shot of the Add BOVPN page, name and type settings

Dans la zone de texte Nom, saisissez un nom pour ce BOVPN.
Dans la liste déroulante Type de Connexion VPN, sélectionnez l'option pour connecter un IPSec Basé sur Route vers un Firebox Géré sur le Cloud.
Avec cette option, les deux sections Endpoint A et Endpoint B contiennent la liste des Fireboxes.

L'option IPSec Basé sur Route vers un Firebox Géré sur le Cloud se nommait auparavant Firebox Géré sur le Cloud de WatchGuard.

Dans la liste déroulante Famille d'Adresses, sélectionnez Adresses IPv4 ou Adresses IPv6.
Si vous sélectionnez Adresses IPv6, l'autre endpoint BOVPN doit être configuré pour prendre en charge IPv6.

Screen shot of the Define VPN endpoints settings

Dans la section Endpoint A, sélectionnez un Firebox géré sur le cloud de votre compte.
Si vous avez ajouté le BOVPN à partir d'une page de Configuration du Périphérique, la liste Endpoint A ne contient qu'un seul Firebox.
Dans la section Endpoint B, sélectionnez un autre Firebox géré sur le cloud de ce compte.
La liste Endpoint B indique tous les Fireboxes gérés sur le cloud appartenant au même compte.
Cliquez sur Suivant.
La page Passerelles VPN offre la possibilité d'utiliser un certificat IPSec du Firebox et une liste des réseaux externes sur chaque Firebox.

Screen shot of the VPN Gateways settings

(Facultatif) Pour utiliser un certificat IPSec du Firebox pour cette connexion VPN :
1. Sélectionnez Utiliser le Certificat IPSec du Firebox.
  La liste de certificats s'affiche.
2. Sélectionnez un certificat.

Pour chaque endpoint, sélectionnez au moins un réseau externe que les endpoints utilisent pour se connecter.
Pour chaque réseau sélectionné, spécifiez l'adresse IP ou un nom de domaine résolu en tant que l'adresse IP du réseau externe du Firebox.
Si vous sélectionnez plusieurs réseaux pour un endpoint, l'Ordre détermine le réseau principal. Pour modifier l'ordre des réseaux, cliquez sur la poignée de déplacement d'un réseau et faites-la glisser vers le haut ou le bas de la liste.
Cliquez sur Suivant.
La page Paramètres de trafic indique les réseaux internes et invités configurés sur chaque périphérique.

Screen shot of the Add BOVPN, Traffic settings

Pour chaque endpoint, sélectionnez les réseaux internes ou invités pouvant envoyer et recevoir du trafic via ce tunnel.
(Facultatif) Pour éviter les conflits lorsque les deux réseaux utilisent la même plage d'adresses IP privées, telle que 192.168.1.0/24, ajoutez la NAT à chaque endpoint :
1. À côté du premier endpoint réseau auquel vous souhaitez ajouter un NAT, cliquez sur Ajouter NAT.
  La boîte de dialogue Ajouter NAT s'ouvre.
2. Dans la zone de texte NAT, saisissez une adresse IP et un masque réseau pour la NAT.
3. Cliquez sur Ajouter.
  Les informations de la NAT s'affichent à côté de l'entrée du endpoint du réseau.
4. Répétez les étapes a à c pour ajouter la NAT au deuxième endpoint.

Pour supprimer une adresse IP NAT, modifiez la zone de texte NAT pour qu'elle soit vide et cliquez sur Enregistrer.

Pour configurer la NAT entre deux Fireboxes gérés sur le cloud appartenant au même compte WatchGuard Cloud, ajoutez NAT à chaque endpoint.

Pour spécifier une ressource réseau autre que les réseaux internes ou invités :
1. Cliquez sur Ajouter une Ressource Réseau.
  La boîte de dialogue Ajouter une Ressource Réseau s'ouvre.
1. Dans la zone de texte Ressource Réseau, saisissez l'adresse IP du réseau et le masque réseau.Astuce !
2. Dans la zone de texte Distance, saisissez une valeur comprise entre 1 et 254. Les routes avec métriques faibles ont la priorité la plus élevée. La valeur par défaut est 1. Dans Fireware v12.9 ou les versions ultérieures, le paramètre Distance remplace le paramètre Métrique.
3. (Facultatif) Pour ajouter la NAT à une ressource réseau :
  1. Cliquez sur Ajouter NAT.
  2. Dans la zone de texte NAT, saisissez une adresse IP et un masque réseau pour la NAT.
    Le masque réseau utilisé dans la zone de texte NAT doit correspondre au masque réseau de la ressource réseau.
4. Cliquez sur Ajouter.
  La ressource réseau est ajoutée aux paramètres de Trafic de l'endpoint.

(Recommandé) Pour chaque endpoint, dans la zone de texte Adresse IP Virtuelle, saisissez une adresse IP. Une adresse IP virtuelle est une adresse IP non liée à une interface physique. Pour un BOVPN dans WatchGuard Cloud (une interface virtuelle BOVPN), une adresse IP virtuelle fait office de passerelle (saut suivant). L'adresse IP virtuelle est utilisée pour le trafic de réponse transmis directement à l'interface virtuelle BOVPN.

Des adresses IP virtuelles sont nécessaires dans certains cas :

Avant de pouvoir ajouter ce BOVPN à une action SD-WAN, vous devez spécifier des adresses IP virtuelles avec un masque de réseau /32.
Si vous configurez un BOVPN à route zéro, vous devez saisir des adresses IP virtuelles de sorte que le trafic de retour utilise le tunnel VPN. Si vous ajoutez une ressource réseau BOVPN à route nulle et que l'endpoint VPN distant ne peut pas router le trafic du Firebox géré sur le cloud vers WatchGuard Cloud, il devient impossible de gérer ou surveiller le Firebox.
Pour le trafic généré par le Firebox, des adresses IP virtuelles sont nécessaires de manière à ce que le trafic de réponse utilise le tunnel VPN. Des exemples de trafic généré par le Firebox incluent le trafic DNS et DHCP, Dimension, Syslog, SNMP, NTP, l'authentification (Active Directory, LDAP et RADIUS) et d'autres connexions établies par le Firebox vers des ressources via le tunnel.

Screen shot of the virtual IP address settings

(Facultatif) Pour chaque endpoint, vous pouvez sélectionner Activer les Paramètres de bit Ne Pas fragmenter (DF). Le bit DF est un indicateur situé dans l'en-tête d'un paquet. Ce paramètre contrôle si le Firebox utilise le paramètre de bit DF d'origine dans l'en-tête d'un paquet.

Screenshot of the Don't Fragment (DF) Bit Settings UI.

Dans la liste déroulante Activer les Paramètres de Bit Ne Pas Fragmenter (DF), sélectionnez l'une de ces options :

Copier

Copie le paramètre de bit DF d'origine du paquet IPSec sur l'en-tête d'encapsulage.
Si une trame ne possède pas de bit DF défini, le Firebox ne définit pas les bits DF et fragmente le paquet comme il le devrait. Si une trame est configurée de manière à ne pas être fragmentée, le Firebox encapsule entièrement la trame et définit les bits DF du paquet chiffré pour qu'ils soient identiques à ceux de la trame d'origine.

Définir

Le Firebox ne peut pas fragmenter les paquets IPSec quel que soit le paramètre‭ de bit d'origine.
Si vous devez établir des connexions IPSec à un Firebox derrière un autre Firebox, ne sélectionnez pas cette option si vous voulez activer la fonctionnalité de transmission IPSec.

Effacer

Le Firebox peut fragmenter les paquets IPSec quel que soit le paramètre‭ de bit d'origine.
Cette option divise la trame en morceaux pouvant tenir dans un paquet IPSec, quel que soit le paramètre de bit d'origine.

Si vous ne spécifiez pas de paramètre de bit DF pour l'endpoint, l'endpoint utilise le paramètre de bit DF spécifié par les paramètres de l'interface externe.

(Facultatif) Saisissez une unité de transmission maximale (MTU) personnalisée dans la zone de texte Configurer la MTU du Tunnel. La valeur MTU par défaut de l'option est de 1 400 octets. La MTU spécifie le plus grand paquet de données, mesuré en octets, qu'un réseau peut transmettre. Vous souhaiterez peut-être spécifier une MTU personnalisée si l'endpoint se connecte à un endpoint VPN tiers qui abandonne les paquets dépassant une certaine taille.

Screenshot of the Configure Tunnel MTU UI.

Cliquez sur Enregistrer.
Les modifications de BOVPN se déploient automatiquement afin que les deux Fireboxes puissent les télécharger. Le déploiement BOVPN est ajouté à l'Historique des Déploiements des deux Fireboxes.

Modifier ou Supprimer un BOVPN

Vous pouvez modifier ou supprimer un BOVPN sur la page BOVPN. Pour obtenir des informations, accédez à Gérer les BOVPN des Fireboxes Gérés sur le Cloud.

Rubriques Connexes

Gérer le Déploiement de la Configuration du Périphérique

Configurer un BOVPN Vers un Firebox Géré Localement ou un Endpoint VPN Tiers

© 2025 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.