Configurer un BOVPN Vers un Firebox Géré Localement ou un Endpoint VPN Tiers

S'applique À : Fireboxes Gérés sur le Cloud

Vous pouvez configurer un Branch Office VPN (BOVPN) à partir d'un Firebox géré sur le cloud vers n'importe quel Firebox ou endpoint VPN tiers prenant en charge les VPN IKEv2 basés sur route avec des paramètres compatibles. Vous pouvez configurer une interface virtuelle BOVPN vers un endpoint VPN tiers ou un endpoint cloud. Les endpoints pris en charge comptent des réseaux virtuels en nuage tels que Microsoft Azure, Amazon AWS et Cisco VTI.

Pour configurer un BOVPN entre deux Fireboxes gérés sur le cloud appartenant au même compte WatchGuard Cloud, accédez à Configurer un BOVPN Entre des Fireboxes Gérés sur le Cloud.

Lorsque vous configurez le BOVPN, WatchGuard Cloud déploie la configuration sur le Firebox géré sur le cloud. Vous devez ensuite configurer l'endpoint distant avec les mêmes paramètres.

Lorsque vous ajoutez un BOVPN vers un Firebox géré sur le cloud, vous configurez :

  • Passerelles VPN — Les réseaux externes que les deux périphériques utilisent pour se connecter.
  • Méthode d'informations d'identification — Sélectionnez l'une des deux options suivantes :
    • Clé Pré-partagée — Secret partagé utilisé pour chiffrer et déchiffrer les données transitant via le tunnel. Utilisez une longueur de clé de 20 caractères ou plus.
    • Certificat — Certificat IPSec du Firebox utilisé pour l'authentification du tunnel. Pour de plus amples informations, accédez à Certificats pour l'Authentification des Tunnels Branch Office VPN (BOVPN) dans l'Aide Fireware.
  • NAT — (Facultatif) Lorsque vous créez un tunnel Branch Office VPN (BOVPN) entre deux réseaux utilisant la même plage d'adresses IP privées, il existe un conflit d'adresses IP. Pour créer un tunnel sans ce conflit, vous pouvez ajouter NAT au VPN. Ce paramètre crée une correspondance entre une ou plusieurs adresses IP d'une plage et une autre plage d'adresses IP de même taille. À chaque adresse IP de la première plage correspond une adresse IP de la seconde plage.
  • Ressources Réseau — Réseaux pouvant envoyer et recevoir du trafic via le tunnel.
  • Adresse IP Virtuelle — (Recommandé) Obligatoire si vous souhaitez :
  • Ajouter le BOVPN à une action SD-WAN.
  • Configurer un BOVPN à route zéro.
  • Répondre au trafic généré par le Firebox via le tunnel. Par exemple, DNS et DHCP, Dimension, Syslog, SNMP, NTP, l'authentification (Active Directory, LDAP et RADIUS) et d'autres connexions établies par le Firebox vers des ressources via le tunnel.
  • Activer les Paramètres de Bit Ne Pas Fragmenter (DF) — (Facultatif) Contrôlez si le Firebox utilise le paramètre de bit DF d'origine dans l'en-tête d'un paquet.
  • Configurer la MTU du Tunnel — (Facultatif) Utilisez une unité de transmission maximale (MTU) personnalisée.
  • Paramètres de Sécurité — Paramètres d'authentification et de chiffrement de la négociation VPN.

BOVPN et Routage

Dans la configuration BOVPN, vous spécifiez les ressources réseau accessibles via le tunnel BOVPN. Les ressources sélectionnées d'un endpoint deviennent des routes statiques sur l'autre endpoint, avec le BOVPN en tant que passerelle. La distance (métrique) que vous spécifiez pour chaque ressource figure dans la table de routage. Le Firebox utilise la table de routage pour déterminer s'il doit transmettre le trafic via le tunnel BOVPN.

Si vous voulez spécifier les ressources réseau des deux endpoints au sein du même sous-réseau, vous devez utiliser la NAT. Si vous n'utilisez la NAT, il vous est impossible de router le trafic via un tunnel BOVPN entre des réseaux privés employant la même plage d'adresses IP.

Pour un VPN entre un Firebox et un endpoint VPN géré localement ou tiers :

  • Les ressources réseau que vous spécifiez pour l'endpoint distant spécifient le trafic que le Firebox route via le tunnel. Ces routes deviennent des routes statiques sur le Firebox géré sur le cloud avec le BOVPN faisant office de passerelle.
  • Les ressources réseau que vous spécifiez pour le Firebox sont les ressources que vous souhaitez faire router par l'endpoint distant via le tunnel VPN vers le Firebox. Les ressources que vous spécifiez ici ne limitent pas le trafic que le Firebox accepte via le tunnel VPN. Afin que le Firebox puisse recevoir le trafic VPN vers ces ressources, l'endpoint distant doit être configuré de manière à router le trafic destiné à ces adresses IP via le tunnel.

Adresses IP Virtuelles

Une adresse IP virtuelle est une adresse IP non liée à une interface physique. Pour un BOVPN dans WatchGuard Cloud (une interface virtuelle BOVPN), une adresse IP virtuelle fait office de passerelle (saut suivant). L'adresse IP virtuelle est utilisée pour le trafic généré par le Firebox et le trafic de réponse transmis directement à l'interface virtuelle BOVPN.

Bien qu'une adresse IP virtuelle ne soit requise que dans certains scénarios, nous vous recommandons de toujours configurer une adresse IP virtuelle pour un BOVPN. Cette configuration garantit que le trafic est acheminé via le tunnel comme prévu.

Vous devez configurer l'adresse IP virtuelle dans les cas suivants :

SD-WAN

Avant d'ajouter un BOVPN à une action SD-WAN, vous devez configurer le BOVPN avec une adresse IP virtuelle /32 pour les deux endpoints. La surveillance de liaison BOVPN est implicitement activée lorsque vous configurez des adresses IP hôtes /32 en tant qu'adresse IP virtuelle des deux endpoints. Un BOVPN dont la surveillance de liaison n'est pas activée (qui ne dispose pas d'adresses IP virtuelles /32 valides sur les deux endpoints) ne peut pas être sélectionné dans une action SD-WAN.

Pour plus d'informations sur SD-WAN, accédez à Configurer SD-WAN.

Routage Nul

Si vous ajoutez une ressource réseau BOVPN à route nulle (0.0.0.0/0), une route par défaut qui transmet l'ensemble du trafic réseau (y compris le trafic destiné à WatchGuard Cloud) via le tunnel VPN est créée. Pour un Firebox géré sur le cloud, vous devez saisir les adresses IP virtuelles dans la configuration BOVPN de manière à ce que le trafic de retour utilise le tunnel VPN.

Caution: Si vous ajoutez une ressource réseau BOVPN à route nulle et que l'endpoint VPN distant ne peut pas router le trafic du Firebox géré sur le cloud vers WatchGuard Cloud, il devient impossible de gérer ou surveiller le Firebox.

Trafic Généré par le Firebox

Le Firebox lui-même génère du trafic via le tunnel. Le trafic généré par le Firebox est également connu sous le nom de « trafic autogénéré ».

Vous devez saisir une adresse IP virtuelle /32 pour chaque endpoint afin que les réponses au trafic généré par le Firebox utilisent le tunnel VPN. N'utilisez pas l'adresse IP ailleurs sur le Firebox. Vous n'avez pas besoin d'utiliser une adresse IP provenant des routes du tunnel. Des exemples de trafic généré par le Firebox incluent le trafic DNS et DHCP, Dimension, Syslog, SNMP, NTP, l'authentification (Active Directory, LDAP et RADIUS) et d'autres connexions établies par le Firebox vers des ressources via le tunnel.

BOVPN et Déploiement Automatique

Lorsque vous ajoutez, modifiez ou supprimez un BOVPN, la configuration BOVPN est automatiquement déployée afin que le Firebox géré sur le cloud puisse la télécharger. Pour confirmer que le déploiement automatique contient uniquement des modifications de configuration BOVPN, il est impossible d'enregistrer les modifications BOVPN si le Firebox présente d'autres modifications de configuration non déployées.

Avant d'ajouter, modifier ou supprimer un BOVPN, confirmez que le Firebox ne présente pas de modification non déployée.

Ajouter un BOVPN entre un Firebox Géré sur le Cloud et un Firebox Géré Localement ou un Endpoint VPN Tiers

Vous pouvez ajouter un BOVPN sur la page BOVPN d'un Firebox spécifique, ou sur la page VPN, qui est une page de configuration partagée. Pour de plus amples informations, accédez à Gérer les BOVPN des Fireboxes Gérés sur le Cloud.

Pour ajouter un BOVPN au Firebox géré sur le cloud, à partir de WatchGuard Cloud :

  1. Pour ouvrir la page BOVPN, utilisez l'une des méthodes suivantes :
    • Pour gérer les BOVPN de tous les Fireboxes du compte actuellement sélectionné, sélectionnez Configurer > VPN.
    • Pour gérer les BOVPN d'un Firebox spécifique, sur la page Configuration du Périphérique, cliquez sur la mosaïque Branch Office VPN.
  2. Sur l'une des pages BOVPN, cliquez sur la mosaïque Branch Office VPN.
    La page BOVPN indique les BOVPN actuellement configurés.

Screen shot of the BOVPN page with no BOVPNs added

  1. Cliquez sur Ajouter un BOVPN.
    La page Ajouter un BOVPN s'ouvre.
  2. Dans la zone de texte Nom, saisissez un nom pour ce BOVPN.
  3. Dans la liste déroulante Type de Connexion VPN, sélectionnez IPSec Basé sur Route vers un Firebox Géré Localement / Tiers.
    Le contenu de la section Endpoint B indiquant précédemment la liste des Fireboxes affiche désormais la zone de texte Nom de l'Endpoint.

L'option IPSec Basé sur Route vers un Firebox Géré Localement / Tiers était auparavant nommée Firebox Géré Localement ou Endpoint VPN Tiers.

  1. Dans la liste déroulante Famille d'Adresses, sélectionnez Adresses IPv4 ou Adresses IPv6.
    Si vous sélectionnez Adresses IPv6, l'autre endpoint BOVPN doit être configuré pour prendre en charge IPv6.

Vous pouvez également sélectionner IPSec Basé sur Route vers un Firebox Géré Localement / Tiers pour créer un BOVPN entre les Fireboxes dans différents comptes WatchGuard Cloud.

Screen shot of the Add BOVPN page with Locally-Managed Firebox or third-party VPN endpoint selected

  1. Dans la section Endpoint A, sélectionnez un Firebox géré sur le cloud de votre compte.
    Si vous avez ajouté le BOVPN à partir d'une page de Configuration du Périphérique, la liste Endpoint A ne contient qu'un seul Firebox.
  2. Dans la section Endpoint B, dans la zone de texte Nom de l'Endpoint, saisissez un nom permettant d'identifier l'endpoint VPN distant.
    La configuration BOVPN utilise ce nom pour désigner l'Endpoint B.

Screenshot of the Define VPN endpoints settings, with a local and remote VPN endpoint specified

  1. Cliquez sur Suivant.
    La page des paramètres des Passerelles VPN s'ouvre.

Screen shot of the VPN Gateways and Pre-shared key settings

  1. Pour utiliser un certificat IPSec du Firebox pour cette connexion VPN, sélectionnez Utiliser le Certificat IPSec du Firebox. Pour utiliser plutôt une clé pré-partagée, passez à l'Étape 11.
    La liste de certificats s'affiche.

Screenshot of the IPSec certificate option in the Add a BOVPN Wizard

    1. Sélectionnez un certificat.
    2. Pour le Firebox géré sur le cloud, sélectionnez un réseau externe.
    3. Pour ce réseau externe, spécifiez l'adresse IP dans la liste déroulante. Sélectionnez le nom x500, le nom de domaine ou l'adresse IP. Les options disponibles dépendent de la configuration du certificat.
      Pour les réseaux dont l'adresse IP est configurée en DHCP ou PPPoE, l'adresse IP par défaut est Tout (Dynamique).
    4. Pour l'endpoint distant :
      • Dans la liste déroulante Adresse IP, sélectionnez ou saisissez une adresse IP.
      • Dans la zone de texte Identifiant de l'Endpoint, saisissez un nom x500, un nom de domaine ou une adresse IP résolvant vers l'adresse IP de l'endpoint distant.
    1. Cliquez sur Suivant.
  1. Pour utiliser une clé pré-partagée pour cette connexion, pour le Firebox géré sur le cloud, sélectionnez un réseau externe.
    1. Spécifiez l'adresse IP ou un nom de domaine résolu en tant que l'adresse IP du réseau externe du Firebox.
    2. Pour l'endpoint distant, dans la zone de texte IP ou Nom de Domaine, saisissez une adresse IP ou un nom de domaine résolu en tant que l'adresse IP de l'endpoint distant.
    3. Dans la zone de texte Clé pré-partagée, saisissez la clé pré-partagée pour sécuriser ce tunnel VPN.
    4. Cliquez sur Suivant.

Screen shot of the Traffic settings

  1. Sélectionnez les réseaux internes et invités du Firebox pour lesquels vous souhaitez octroyer l'accès via le tunnel VPN.
  2. (Facultatif) Pour éviter les conflits lorsque les deux réseaux utilisent la même plage d'adresses IP privées, ajoutez la NAT à un endpoint :
    1. À côté du endpoint géré sur le cloud auquel vous souhaitez ajouter la NAT, cliquez sur Ajouter NAT.
      La boîte de dialogue Ajouter NAT s'ouvre.
    2. Dans la zone de texte NAT, saisissez une adresse IP et un masque réseau pour la NAT.

    3. Cliquez sur Ajouter.
      Les informations de la NAT s'affichent à côté de l'entrée du endpoint du réseau.

    Pour supprimer une adresse IP NAT, modifiez la zone de texte NAT pour qu'elle soit vide et cliquez sur Enregistrer.

  3. Pour ajouter une ressource réseau autre que les réseaux internes ou invités :
    1. Dans la section des ressources Firebox, cliquez sur Ajouter une Ressource Réseau.
      La boîte de dialogue Ajouter une Ressource Réseau s'ouvre.
      Screen shot of the Add Network Resource dialog box
    1. Dans la zone de texte Ressource Réseau, saisissez l'adresse IP du réseau et le masque réseau.Astuce !
    2. Dans la zone de texte Distance, saisissez une valeur comprise entre 1 et 254. Les routes avec métriques faibles ont la priorité la plus élevée. La valeur par défaut est 1. Dans Fireware v12.9 ou les versions ultérieures, le paramètre Distance remplace le paramètre Métrique.
    3. (Facultatif) Pour ajouter la NAT à une ressource réseau :
      1. Cliquez sur Ajouter NAT.
      2. Dans la zone de texte NAT, saisissez une adresse IP et un masque réseau pour la NAT.
        Le masque réseau utilisé dans la zone de texte NAT doit correspondre au masque réseau de la ressource réseau.

    4. Cliquez sur Ajouter.
      La ressource réseau est ajoutée aux paramètres de Trafic de l'endpoint.
  4. Ajoutez une ressource réseau pour l'endpoint distant :
    1. Dans la section du deuxième endpoint, cliquez sur Ajouter une Ressource Réseau.
    1. Dans la zone de texte Ressource Réseau, saisissez l'adresse IP du réseau et le masque réseau.
    2. Dans la zone de texte Distance, saisissez une valeur comprise entre 1 et 254. Les routes avec métriques faibles ont la priorité la plus élevée. La valeur par défaut est 1. Dans Fireware v12.9 ou les versions ultérieures, le paramètre Distance remplace le paramètre Métrique.
    3. Cliquez sur Ajouter.
      La ressource réseau est ajoutée aux paramètres de Trafic de l'endpoint.
  5. Répétez l'étape précédente pour ajouter d'autres ressources réseau.
  6. (Recommandé) Pour chaque endpoint, dans la zone de texte Adresse IP Virtuelle, saisissez une adresse IP. Une adresse IP virtuelle est une adresse IP non liée à une interface physique. Pour un BOVPN dans WatchGuard Cloud (une interface virtuelle BOVPN), une adresse IP virtuelle fait office de passerelle (saut suivant). L'adresse IP virtuelle est utilisée pour le trafic de réponse transmis directement à l'interface virtuelle BOVPN.

Des adresses IP virtuelles sont nécessaires dans certains cas :

  • Avant de pouvoir ajouter ce BOVPN à une action SD-WAN, vous devez spécifier des adresses IP virtuelles avec un masque de réseau /32.
  • Si vous configurez un BOVPN à route zéro, vous devez saisir des adresses IP virtuelles de sorte que le trafic de retour utilise le tunnel VPN. Si vous ajoutez une ressource réseau BOVPN à route nulle et que l'endpoint VPN distant ne peut pas router le trafic du Firebox géré sur le cloud vers WatchGuard Cloud, il devient impossible de gérer ou surveiller le Firebox.
  • Pour le trafic généré par le Firebox, des adresses IP virtuelles sont nécessaires de manière à ce que le trafic de réponse utilise le tunnel VPN. Des exemples de trafic généré par le Firebox incluent le trafic DNS et DHCP, Dimension, Syslog, SNMP, NTP, l'authentification (Active Directory, LDAP et RADIUS) et d'autres connexions établies par le Firebox vers des ressources via le tunnel.

Screen shot of the virtual IP address settings

  1. (Facultatif) Pour l‘endpoint géré sur le cloud, vous pouvez sélectionner Activer les Paramètres de bit Ne Pas fragmenter (DF). Le bit DF est un indicateur situé dans l'en-tête d'un paquet. Ce paramètre contrôle si le Firebox utilise le paramètre de bit DF d'origine dans l'en-tête d'un paquet.

Screenshot of the Don't Fragment (DF) Bit Settings UI.

Dans la liste déroulante Activer les Paramètres de Bit Ne Pas Fragmenter (DF), sélectionnez l'une de ces options :

Copier

Copie le paramètre de bit DF d'origine du paquet IPSec sur l'en-tête d'encapsulage.
Si une trame ne possède pas de bit DF défini, le Firebox ne définit pas les bits DF et fragmente le paquet comme il le devrait. Si une trame est configurée de manière à ne pas être fragmentée, le Firebox encapsule entièrement la trame et définit les bits DF du paquet chiffré pour qu'ils soient identiques à ceux de la trame d'origine.

Définir

Le Firebox ne peut pas fragmenter les paquets IPSec quel que soit le paramètre‭ de bit d'origine.
Si vous devez établir des connexions IPSec à un Firebox derrière un autre Firebox, ne sélectionnez pas cette option si vous voulez activer la fonctionnalité de transmission IPSec.

Effacer

Le Firebox peut fragmenter les paquets IPSec quel que soit le paramètre‭ de bit d'origine.
Cette option divise la trame en morceaux pouvant tenir dans un paquet IPSec, quel que soit le paramètre de bit d'origine.

Si vous ne spécifiez pas de paramètre de bit DF pour l'endpoint, l'endpoint utilise le paramètre de bit DF spécifié par les paramètres de l'interface externe.

  1. (Facultatif) Pour le Firebox géré sur le cloud, saisissez une unité de transmission maximale (MTU) personnalisée dans la zone de texte Configurer la MTU du Tunnel. La valeur MTU par défaut de l'option est de 1 400 octets. La MTU spécifie le plus grand paquet de données, mesuré en octets, qu'un réseau peut transmettre. Vous souhaiterez peut-être spécifier une MTU personnalisée si l'endpoint se connecte à un endpoint VPN tiers qui abandonne les paquets dépassant une certaine taille.

    2. Screenshot of the Configure Tunnel MTU UI.

  1. Cliquez sur Suivant.
    La page paramètres de Sécurité s'ouvre.

Screen shot of the default security settings

  1. Acceptez les paramètres de sécurité par défaut ou modifiez-les afin de refléter les paramètres pris en charge par l'endpoint VPN distant. Pour obtenir des informations, accédez à Configurer les Paramètres de Sécurité BOVPN. Pour plus d'informations sur le débit BOVPN, accédez à Optimiser le Débit BOVPN.
  2. Cliquez sur Ajouter.
    Le déploiement BOVPN est ajouté et la page Guide BOVPN s'ouvre.

Screen shot of the last page of the Add BOVPN wizard, with the View Guide link

  1. Pour ouvrir le Guide BOVPN dans un nouvel onglet de navigateur, cliquez sur Afficher le Guide.
    Le Guide BOVPN s'ouvre dans un nouvel onglet de navigateur. Vous pouvez imprimer cette page ou l'enregistrer au format PDF.
  2. Pour revenir à la liste BOVPN, cliquez sur Terminer.

Afficher le Guide BOVPN

Pour chaque BOVPN, WatchGuard Cloud génère un Guide VPN offrant une synthèse des paramètres de configuration VPN exigés par l'endpoint VPN distant. Vous pouvez consulter le Guide BOVPN sur la page Modifier le BOVPN. Pour de plus amples informations, accédez à Afficher le Guide BOVPN.

Configurer l'Endpoint VPN Distant

Sur l'endpoint VPN distant, ajoutez un VPN IKEv2 basé sur routes dont les paramètres correspondent aux paramètres VPN du Firebox géré sur le cloud. Pour de plus amples informations, accédez à Configurer les Paramètres de l'Endpoint VPN Distant sur un Firebox Géré Localement ou un Endpoint VPN Tiers.

Modifier ou Supprimer un BOVPN

Vous pouvez modifier ou supprimer un BOVPN sur la page BOVPN. Pour obtenir des informations, accédez à Gérer les BOVPN des Fireboxes Gérés sur le Cloud.

Rubriques Connexes

Gérer le Déploiement de la Configuration du Périphérique

Configurer un Réseau Interne ou Invité d'un Firebox

Gérer les Certificats