Configurer le Basculement VPN

Votre Firebox ne peut mettre fin à un VPN spécifique que sur une interface à la fois. Toutefois, si un périphérique est doté de plusieurs interfaces externes et que l'une d'entre elles n'est pas disponible, le Firebox peut essayer de négocier le VPN via une autre interface externe. Vous pouvez également utiliser un modem pour le basculement VPN si vous avez activé le basculement par modem sur le Firebox.

Le basculement est une fonction importante des réseaux qui demande un haut niveau de disponibilité. Lorsque le basculement Multi-WAN est configuré, les tunnels VPN basculent automatiquement vers une interface externe de sauvegarde en cas de défaillance. Vous pouvez également configurer le basculement des tunnels VPN vers un endpoint de sauvegarde si le endpoint principal cesse d'être disponible.

Cette rubrique concerne uniquement les tunnels VPN manuels. Si le basculement Multi-WAN est configuré et que vous créez des tunnels gérés, WatchGuard System Manager (WSM) définit automatiquement des paires de passerelles comprenant les interfaces externes des deux extrémités de votre tunnel. Aucune autre configuration n'est requise.

Le basculement VPN se produit en présence de l'un des deux événements suivants :

  • Un lien physique ne fonctionne pas. Le périphérique Firebox analyse l'état de la passerelle VPN et des périphériques identifiés dans la configuration d'analyse du lien Multi-WAN. Si le lien physique ne fonctionne pas, le basculement VPN a lieu.
  • Le Firebox détecte que le pair VPN n'est pas actif.

Lorsque le basculement se produit, si le tunnel utilise la conservation d'activité IKE, le protocole IKE continue à envoyer des paquets de conservation d'activité de phase 1 au pair. Lorsqu'il obtient une réponse, IKE déclenche la restauration automatique vers la passerelle VPN principale. Si le tunnel utilise la détection DPD, la restauration automatique se produit lorsqu'une réponse est reçue de la passerelle VPN principale.

En cas de basculement, la plupart des nouvelles connexions et des connexions existantes sont automatiquement basculées. Par exemple, si vous lancez une commande FTP « PUT » et que le chemin d'accès principal au VPN échoue, la connexion FTP existante continue sur le chemin d'accès VPN de secours. La connexion n'est pas perdue, mais elle est un peu retardée.

Conditions requises pour le basculement VPN :

  • Les périphériques à chaque endpoint du tunnel doivent être des Fireboxes utilisant Fireware v11.0 ou ultérieure.
  • Le basculement multi-WAN doit être configuré, tel que décrit dans À propos de Multi-WAN.
  • Les interfaces de votre Firebox doivent être répertoriées comme paires de passerelle sur le Firebox distant. Si vous avez déjà configuré le basculement Multi-WAN, vos tunnels VPN vont automatiquement basculer vers l'interface de sauvegarde.
  • La détection DPD doit être activée dans les paramètres de Phase 1 de la passerelle Branch Office à chaque extrémité du tunnel.
  • Sur les deux Firebox, chaque paire d'adresses de passerelle de la liste Endpoints de Passerelle doit être répertoriée dans le même ordre.

Le basculement VPN n'est pas pris en charge pour les connexions VPN vers des périphériques tiers.

Le basculement VPN ne se produit pas pour les tunnels BOVPN pour lesquels la traduction d'adresses réseau (NAT) dynamique est activée. Pour les tunnels BOVPN qui n'utilisent pas la traduction d'adresses réseau, le basculement VPN a lieu et la session BOVPN continue. Avec les tunnels Mobile VPN, la session ne continue pas. Vous devez à nouveau authentifier votre client Mobile VPN pour créer un nouveau tunnel Mobile VPN.

Définir des paires de passerelles multiples

Vous pouvez ajouter plusieurs ensembles d'endpoints locaux et distants (paires d'endpoints de passerelle) dans la configuration de la passerelle Branch Office VPN si l'un des périphériques d'endpoints possède plusieurs interfaces externes utilisables pour envoyer et recevoir des négociations IKE. Pour configurer le basculement de tunnels BOVPN manuels vers un endpoint de secours, vous devez définir plusieurs ensembles d'enpoints locals et distants (paires de passerelles) pour la passerelle Branch Office VPN utilisée par les tunnels.

Si le basculement Multi-WAN est configuré et que vous créez des tunnels gérés, WatchGuard System Manager (WSM) définit automatiquement des paires de passerelles comprenant les interfaces externes des deux extrémités de votre tunnel. Aucune autre configuration n'est requise.

Pour disposer de fonctionnalités de basculement complètes pour une configuration VPN, vous devez définir des paires de passerelles pour chaque combinaison d'interfaces externes de chaque côté du tunnel. Imaginez par exemple deux Firebox disposant chacun de deux interfaces externes.

Firebox Local

Adresse IP de l'interface externe principale : 203.0.113.2

Adresse IP de l'interface externe secondaire : 192.0.2.1

Firebox Distant

Adresse IP de l'interface externe principale : 198.51.100.2

Adresse IP de l'interface externe secondaire : 192.0.2.2

Pour un basculement VPN complet, vous devez ajouter quatre paires de passerelles à la passerelle Branch Office du Firebox local :

203.0.113.2 — 198.51.100.2
203.0.113.2 — 192.0.2.2
192.0.2.1 — 198.51.100.2
192.0.2.1 — 192.0.2.2

Suivez les mêmes étapes sur le Firebox distant pour ajouter quatre paires de passerelle avec adresses IP locales et distantes correspondantes.

Les passerelles locales et distantes de la liste Endpoints de passerelle du Firebox distant ressemblent à ceci :

198.51.100.2 — 203.0.113.2
192.0.2.2 — 203.0.113.2
198.51.100.2 — 192.0.2.1
192.0.2.2 — 192.0.2.1

Sur les deux Firebox, chaque paire d'adresses de passerelle de la liste Endpoints de Passerelle doit être répertoriée dans le même ordre.

Voir Également

Configurer le Basculement de Modem VPN

Basculement du Modem VPN et Multi-WAN