Configurer BOVPN sur TLS en Mode Serveur

BOVPN over TLS utilise un modèle client-serveur pour la communication du tunnel VPN. Vous devez configurer au moins un Firebox comme Client BOVPN over TLS et au moins un Firebox comme Serveur BOVPN over TLS.

Dans Fireware v12.1, vous devez utiliser la Web UI pour configurer un BOVPN sur TLS. Dans Fireware v12.1.1 et versions ultérieures, vous pouvez également utiliser Policy Manager.

À propos de la Priorité et de l'Héritage des Paramètres SSL/TLS

Différentes fonctionnalités du Firebox utilisent SSL/TLS pour établir des communications sécurisées et partager le même serveur OpenVPN. Par ordre de priorité décroissante, les fonctionnalités partageant le serveur OpenVPN sont les suivantes :

  • Management Tunnel over SSL sur les périphériques hub
  • BOVPN over TLS en mode Serveur
  • Mobile VPN with SSL
  • Access Portal

Les fonctionnalités présentant une priorité faible héritent de certains paramètres SSL/TLS des fonctionnalités activées présentant une priorité supérieure. Les paramètres partagés ne sont pas configurables pour les fonctionnalités présentant une priorité faible.

Si le tunnel de gestion SSL est activé, ces paramètres BOVPN over TLS ne sont pas modifiables :

  • Adresses IP du Firebox
  • Pool d'adresses IP virtuelles
  • Protocole et port de canal de données
  • Renégocier le canal de données

Les paramètres du mode Serveur de BOVPN over TLS sont prioritaires sur certains paramètres de Mobile VPN with SSL et de l'Access Portal. Pour plus d'informations sur l'impact des paramètres du mode Serveur de BOVPN over TLS sur les paramètres de Mobile VPN with SSL et d'Access Portal, consultez Précédence et Héritage des Paramètres SSL/TLS.

Activer le Mode Serveur

Lorsque vous activez BOVPN over TLS en mode Serveur, votre Firebox est configuré comme serveur TLS.

  1. Sélectionnez VPN > BOVPN over TLS.

Capture d'écran de la page d'activation de BOVPN over TLS

  1. Cliquez sur Activer.
    La boîte de dialogue Mode BOVPN over TLS s'affiche.
  2. Dans la liste déroulante Mode du Firebox, choisissez Serveur.
  3. Dans la zone de texte Serveur Principal, entrez une adresse IP ou un nom de domaine de Firebox pour les connexions des clients.
  4. (Facultatif) Dans la zone de texte Serveur de Secours, saisissez l'adresse IP ou le nom de domaine d'une interface externe secondaire du Firebox. Le client essaie de se connecter au serveur de secours s'il n'arrive pas à se connecter au serveur principal.

  1. Cliquez sur Enregistrer.
    Un résumé de la configuration apparait.

Capture d'écran de la page de résumé de la configuration

Vous devez ensuite ajouter un client BOVPN over TLS qui peut se connecter au serveur BOVPN over TLS.

  1. Sélectionnez VPN > BOVPN over TLS.
  2. Sélectionnez Activer BOVPN over TLS.
  3. Dans la liste déroulante Mode du Firebox, choisissez Serveur.
  4. Dans la zone de texte Serveur Principal, entrez une adresse IP ou un nom de domaine de Firebox pour les connexions des clients.
  5. (Facultatif) Dans la zone de texte Serveur de Secours, saisissez l'adresse IP ou le nom de domaine d'une interface externe secondaire du Firebox. Le client essaie de se connecter au serveur de secours s'il n'arrive pas à se connecter au serveur principal.

Capture d'écran de la boîte de dialogue Configuration de BOVPN over TLS

Vous devez ensuite ajouter un client BOVPN over TLS qui peut se connecter au serveur BOVPN over TLS.

Ajouter un Client BOVPN over TLS

Quand vous ajoutez un Client BOVPN over TLS, vous devez indiquer :

  • Routes du Client — Les destinations derrière le serveur BOVPN over TLS qui sont accessibles par le client BOVPN over TLS. Choisissez si vous voulez envoyer tout le trafic par le tunnel ou seulement le trafic dirigé vers des destinations de votre choix.
  • Routes du Serveur — Les destinations derrière le client BOVPN over TLS qui sont accessibles par le serveur BOVPN over TLS.

Si Mobile VPN with SSL est activé sur le client BOVPN over TLS, vous devez choisir l'option Indiquer les adresses de destination que le client acheminera par le tunnel sur le serveur BOVPN over TLS. Si vous choisissez Le trafic vers tous les emplacements est envoyé par le tunnel, les utilisateurs mobiles ne peuvent établir une connexion Mobile VPN with SSL au Firebox configuré comme client BOVPN over TLS.

  1. Cliquez sur Ajouter.
    La page Ajouter un Client apparaît.

Capture d'écran de la boîte de dialogue Ajouter un Client

  1. Dans la zone de texte ID de Tunnel, entrez un nom pour identifier le tunnel. Vous devez indiquer le même ID de Tunnel sur le client TLS.
  2. (Facultatif) Dans la zone de texte Description, saisissez une description du tunnel.
  3. Dans la zone de texte Clé Pré-partagée, saisissez la clé pré-partagée que le client et le serveur utilisent.
  4. Pour activer ce client, sélectionnez Activer.
  5. Dans la section Routes du Client, indiquez le trafic que le client BOVPN over TLS envoie par le tunnel.

Envoyer tout le trafic client par le tunnel

Le trafic destiné à certains emplacements est envoyé par le tunnel.

Capture d'écran de la section Routes du Client

Indiquez les adresses de destination que le client acheminera par le tunnel.

Seul le trafic destiné aux adresses IP d'hôte ou de réseau spécifiés situés derrière le serveur BOVPN over TLS est envoyé par le tunnel.

Capture d'écran du deuxième choix de Routes du Client

  1. Dans la section Routes du Serveur, cliquez sur Ajouter.
    La boîte de dialogue Route s'affiche.
  2. Dans la liste déroulante Type de Destination, sélectionnez IPv4 réseau ou IPv4 de l'Hôte.
  3. Dans les zones de texte Acheminer Vers, saisissez l'adresse IP de l'hôte ou du réseau.
  4. Dans la zone de texte Métrique, saisissez la métrique de la route.

Capture d'écran de la section Route

  1. Cliquez sur OK pour afficher la configuration du tunnel.

Capture d'écran de la configuration avec l'option de tunnel complet

L'option Envoyer tout le trafic client par le tunnel dans Web UI

Capture d'écran de la configuration avec des routes de client spécifiées

L'option Indiquer les adresses de destination que le client acheminera par le tunnel dans Web UI

  1. Cliquez sur Enregistrer.
    Un résumé de la configuration apparait.

Capture d'écran de la configuration

  1. Cliquez sur Ajouter.
    La boîte de dialogue Ajouter un Client s'affiche.

Capture d'écran de la boîte de dialogue Ajouter un Client

  1. Dans la zone de texte ID de Tunnel, entrez un nom pour identifier le tunnel. Vous devez indiquer le même ID de Tunnel sur le client TLS.
  2. (Facultatif) Dans la zone de texte Description, saisissez une description du tunnel.
  3. Dans la zone de texte Clé Pré-partagée, saisissez la clé pré-partagée que le client et le serveur utilisent.
  4. Pour activer ce client, sélectionnez Activer.
  5. Dans la section Routes du Client, indiquez le trafic que le client BOVPN over TLS envoie par le tunnel.

Envoyer tout le trafic client par le tunnel

Le trafic destiné à certains emplacements est envoyé par le tunnel.

Capture d'écran de l'option Routes du Client

Indiquer les adresses de destination que le client acheminera par le tunnel

Seul le trafic destiné aux adresses IP d'hôte ou de réseau spécifiés situés derrière le serveur BOVPN over TLS est envoyé par le tunnel.

Capture d'écran du deuxième choix de Routes du Client

  1. Dans la section Routes du Serveur, cliquez sur Ajouter.
    La boîte de dialogue Ajouter une route s'ouvre.
  2. Dans la liste déroulante Type de destination, sélectionnez IPv4 réseau ou IPv4 de l'Hôte.
  3. Dans la zone de texte Acheminer Vers, saisissez l'adresse IP de l'hôte ou du réseau.

Screen shot of the Add Route dialog box

  1. Dans la zone de texte Métrique, saisissez la métrique de la route.
  2. Cliquez sur OK pour afficher la configuration du tunnel.

Capture d'écran de la boîte de dialogue Ajouter un Client avec la première option Routes du Client

L'option Envoyer tout le trafic client par le tunnel dans Policy Manager

Capture d'écran de la boîte de dialogue Ajouter un Client avec la deuxième option Routes du client

L'option Indiquer les adresses de destination que le client acheminera par le tunnel dans Policy Manager

  1. Cliquez sur OK.
    Un résumé de la configuration apparait.

Capture d'écran du résumé des paramètres de BOVPN over TLS

Configurer les paramètres avancés

Les paramètres avancés incluent ces paramètres de communication.

Pool d'adresses IP

Par défaut, le serveur BOVPN over TLS attribue des adresses IP du pool 192.168.113.0/24 aux clients BOVPN over TLS. Mobile VPN with SSL utilise également par défaut le pool 192.168.113.0/24. Si les fonctionnalités BOVPN over TLS en mode Client et Mobile VPN with SSL sont activés sur le même Firebox, vous devez indiquer un pool d'adresses différent pour l'une de ces fonctionnalités. Si les deux fonctionnalités utilisent le même pool d'adresses IP, le trafic BOVPN over TLS ne sera pas envoyé correctement par le tunnel.

Vous ne pouvez pas modifier le paramètre Pool d'adresses IP si le tunnel de gestion SSL est activé.

Authentification

Sélectionnez une méthode d'authentification pour la connexion : SHA-1, SHA-256 ou SHA-512. Nous vous recommandons les variantes SHA-2 SHA-256 et SHA-512, plus robustes que SHA-1.

Chiffrement

Sélectionnez un algorithme pour chiffrer le trafic : 3DES, AES (128 bits), AES (192 bits) ou AES (256 bits). Dans Fireware v12.2 et les versions ultérieures, vous pouvez également sélectionner AES-GCM (128 bits), AES-GCM (192 bits) ou AES-GCM (256 bits). Nous recommandons le chiffrement AES. Pour de meilleures performances, sélectionnez une variante AES 128 bits. Pour le chiffrement le plus sécurisé, sélectionnez AES (256 bits).

Si vous sélectionnez 3DES, tenez compte des potentielles, bien qu'improbables, attaques de sécurité. Pour de plus amples informations, consultez la rubrique Vulnérabilité Sweet32 dans la Base de Connaissances WatchGuard.

Canal de Données

Si le protocole du canal de données est TCP, vous ne pouvez pas choisir un numéro de port autre que 443.

Vous pouvez changer le protocole de canal de données en UDP et indiquer un port différent à moins que le Tunnel de gestion SSL ne soit activé sur votre Management Server.

Pour plus d'informations sur les différences entre TCP et UDP, consultez Choisir le Port et le Protocole pour Mobile VPN with SSL.

Pour obtenir des informations concernant la priorité des paramètres, consultez Précédence et Héritage des Paramètres SSL/TLS.

Intervalle de Conservation d'Activité

Si aucun paquet n'a été envoyé par le tunnel pendant la durée choisie, le serveur BOVPN over TLS envoie un ping au client BOVPN over TLS.

Délai de Conservation d'Activité

Si le client BOVPN over TLS n'envoie pas de réponse ou un autre paquet avant la fin du Délai de Conservation d'Activité, la connexion du tunnel est fermée et redémarrée.

Le Délai de conservation d'Activité est automatiquement doublé. Par exemple, si vous conservez la valeur par défaut de 60 secondes, le serveur BOVPN over TLS attend 120 secondes pour recevoir les paquets du client BOVPN over TLS. Si les 120 secondes s'écoulent sans réponse du client BOVPN over TLS, la connexion du tunnel est fermée et redémarrée. Ceci permet de garantir que le client BOVPN over TLS détecte un dépassement de délai avant que le serveur BOVPN over TLS ne ferme la connexion.

Renégocier le canal de données

Si une connexion BOVPN over TLS est active pendant la durée indiquée dans la zone de texte Renégocier le Canal de Données, le serveur BOVPN over TLS crée un nouveau tunnel. La valeur minimale est de 1 heure.

Vous ne pouvez pas modifier le paramètre Renégocier le Canal de Données si le tunnel de gestion SSL est activé.

  1. Sur la page Paramètres du Serveur BOVPN over TLS, cliquez sur Avancé.
    La boîte de dialogue Paramètres avancés s'affiche.

Capture d'écran des Paramètres Avancés de BOVPN over TLS

  1. Dans la zone de texte Pool d'adresses IP virtuelles, entrez l'adresse IP du réseau.
  2. Dans la liste déroulante Authentification, sélectionnez SHA-1, SHA-256 ou SHA-512.
  3. Dans la liste déroulante Chiffrement, sélectionnez 3DES, AES (128 bits), AES (192 bits) ou AES (256 bits). Dans Fireware v12.2 et les versions ultérieures, vous pouvez également sélectionner AES-GCM (128 bits), AES-GCM (192 bits) ou AES-GCM (256 bits).
  4. Dans la liste déroulante Canal de Données, sélectionnez TCP ou UDP.
  5. Si vous avez sélectionné UDP, indiquez un numéro de port dans la zone de texte adjacente.
  6. Dans la zone de texte Intervalle de Conservation d'Activité, indiquez un nombre en secondes.
  7. Dans la zone de texte Délai de Conservation d'Activité, indiquez un nombre en secondes.
  8. Dans la zone de texte Renégocier le Canal de Données, indiquez un nombre en heures.
  1. Dans la boîte de dialogue Paramètres du Serveur BOVPN over TLS, cliquez sur Avancé.
    La boîte de dialogue Paramètres Avancés s'affiche

    2. Capture d'écran des Paramètres Avancés de BOVPN over TLS en mode Serveur

  2. Dans la zone de texte Pool d'adresses IP virtuelles, entrez l'adresse IP du réseau.
  3. Dans la liste déroulante Authentification, sélectionnez SHA-1, SHA-256 ou SHA-512.
  4. Dans la liste déroulante Chiffrement, sélectionnez 3DES, AES (128 bits), AES (192 bits) ou AES (256 bits). Dans Fireware v12.2 et les versions ultérieures, vous pouvez également sélectionner AES-GCM (128 bits), AES-GCM (192 bits) ou AES-GCM (256 bits).
  5. Dans la liste déroulante Canal de Données, sélectionnez TCP ou UDP.
  6. Si vous avez sélectionné UDP, indiquez un numéro de port dans la zone de texte adjacente.
  7. Dans la zone de texte Intervalle de Conservation d'Activité, indiquez un nombre en secondes.
  8. Dans la zone de texte Délai de Conservation d'Activité, indiquez un nombre en secondes.
  9. Dans la zone de texte Renégocier le Canal de Données, indiquez un nombre en heures.

Voir Également

Configurer BOVPN sur TLS en Mode Client

À propos des tunnels Branch Office VPN over TLS

Précédence et Héritage des Paramètres SSL/TLS