Utiliser un réseau Branch Office VPN pour procéder à un basculement à partir d'une ligne privée (OSPF)

Cette rubrique propose un exemple d'une procédure de configuration d'un basculement depuis une ligne privée qui fait appel à un OSPF vers un réseau Branch Office VPN. Pour un aperçu du mode de fonctionnement du basculement vers un réseau Branch Office VPN, consultez Configurer un Réseau Branch Office VPN pour procéder à un Basculement à partir d'une ligne privée.

Dans cet exemple, une entreprise dispose d'une ligne privée qui relie les Fireboxes de deux sites ; le Site 1 et le Site 2. Le routeur de la ligne louée est connecté au réseau approuvé sur chaque site. L'administrateur réseau de l'entreprise souhaite configurer entre les deux sites une connexion Branch Office VPN qui pourra être utilisée pour basculement au cas où la connexion via la ligne louée devient indisponible.

Le diagramme suivant illustre les paramètres de configuration à appliquer sur chacun des deux sites dans le cas de l'exemple présenté.

Diagramme du réseau qui illustre les adresses IP utilisées sur le site 1 et sur le site 2

Configuration réseau du site 1

WatchGuard Firebox du Site 1 :

  • Adresse IP de l'interface externe : 203.0.113.2/24
  • Adresse IP de la passerelle par défaut : 203.0.113.1
  • Adresse IP de l'interface Approuvé-1 : 10.0.1.1/24 — Connectée au réseau approuvé du Site 1
  • Adresse IP du réseau approuvé : 10.50.1.0/24
  • Adresse IP de l'interface Approuvé-2 : 10.0.2.1/30 — connectée au routeur

Routeur connecté à la ligne privée et connecté à l'interface facultative du site 1 :

  • Adresse IP du LAN : 10.50.2.2/30
  • Adresse IP du WAN : 172.16.0.2

Configuration réseau du site 2

WatchGuard Firebox du site 2 :

  • Adresse IP de l'interface externe : 198.51.100.2/24
  • Adresse IP de la passerelle par défaut : 198.51.100.2.1
  • Adresse IP de l'interface Approuvé-1 : 10.50.1.1/24 — Connectée au réseau approuvé du Site 2
  • Adresse IP du réseau approuvé : 10.50.1.0/24
  • Adresse IP de l'interface Approuvé-2 : 10.50.2.1/30 — connectée au routeur

Routeur connecté à la ligne louée et connecté au réseau approuvé du site 2 :

  • Adresse IP du LAN : 10.50.2.2/30
  • Adresse IP du WAN : 172.16.0.2

Routes Statiques

Un routeur se trouve à chaque extrémité de la ligne privée entre les deux Firebox. Sur chaque site, vous devez configurer des routes statiques sur le Firebox et sur le routeur pour assurer le bon acheminement du trafic entre les deux réseaux.

Les routes statiques nécessaires sur le Firebox et sur le routeur de chaque site sont illustrées ci-dessous.

Routes statiques sur le site 1

  Sur le Firebox du site 1 Sur le routeur du site 1
Route vers le Firebox du site 2

Route vers : 10.0.2.0/30
Passerelle : 10.0.2.2

Réseau : 10.0.2.0/30
Saut suivant : 172.16.0.2
Route en direction du réseau approuvé du site 1

 

Réseau : 10.0.1.0/24
Saut Suivant : 10.0.2.1
Route en direction du réseau approuvé du site 2  

Réseau : 10.50.1.0/24

Saut Suivant : 172.16.0.2

Routes statiques sur le site 2

  Sur le Firebox du site 2 Sur le routeur du site 2
Route vers le Firebox du site 1

Route vers : 10.0.2.0/30
Passerelle : 10.50.2.2

Réseau : 10.0.2.0/30
Saut Suivant : 172.16.0.1
Route en direction du réseau approuvé du site 1  

Réseau : 10.0.1.0/24
Saut Suivant : 172.16.0.1
Route en direction du réseau approuvé du site 2  

Réseau : 10.50.1.0/24

Saut Suivant : 10.50.2.1

Pour plus d'informations sur l'ajout d'une route statique au Firebox, consultez Ajouter une Route Statique.

Après avoir configuré les routes statiques et vérifié que la communication se fait entre les périphériques, vous pouvez configurer le routage dynamique sur la liaison du réseau privé.

Configurer le routage dynamique sur le site 1

Pour utiliser la connexion Branch Office VPN pour un basculement, vous devez activer le routage dynamique sur le périphérique Firebox de chaque site. Vous pouvez utiliser n'importe quel protocole de routage dynamique pris en charge (RIP v1, RIPv 2, OSPF, ou BGP v4). Cet exemple utilise l'OSPF.

  1. Sélectionnez Réseau > Routage Dynamique.
    La page Configuration du routage dynamique apparaît
  2. Activez la case à cocher Activer le routage dynamique.
  3. Sélectionnez l'onglet OSPF.
  4. Activez la case à cocher Activer.
  5. Dans la zone de texte de l'onglet OSPF, collez le texte de votre fichier de configuration de démon de routage.

Pour le site 1, le fichier de configuration de démon de routage OSPF contient le texte suivant :

router ospf
ospf router-id 10.0.2.1
network 10.0.2.0/24 area 0
network 10.0.1.0/24 area 0

  1. Cliquez sur Enregistrer.
    Lorsque vous activez le routage dynamique, une stratégie est automatiquement ajoutée pour autoriser le trafic vers les adresses de multidiffusion réservées utilisées par l'OSPF.
  2. Configurez le routeur connecté à la ligne louée du site 1 de sorte qu'il autorise le protocole OSPF pour le routage dynamique.

Par exemple, si le site 1 utilise un routeur Cisco, ajoutez les lignes suivantes au fichier de configuration du routeur :

router ospf 1
log-adjacency-changes
network 172.16.0.0 0.0.0.255 area 0
network 10.0.2.0 0.0.0.255 area 0

  1. Une fois le routeur configuré, sélectionnez État du système > Routes et vérifiez que le Firebox et le routeur sont connectés et s'envoient mutuellement des mises à jour.
  1. Sélectionnez Réseau > Routage Dynamique.
    La boîte de dialogue Configuration du Routage Dynamique apparaît.
  2. Activez la case à cocher Activer le routage dynamique.
  3. Sélectionnez l'onglet OSPF.
  4. Cochez la case Activer OSPF.
  5. Dans la zone de texte de l'onglet OSPF, collez le texte de votre fichier de configuration de démon de routage, ou cliquez sur Importer pour importer un fichier de configuration.

Pour le site 1, le fichier de configuration de démon de routage OSPF contient le texte suivant :

router ospf
ospf router-id 10.0.2.1
network 10.0.2.0/24 area 0
network 10.0.1.0/24 area 0

  1. Cliquez sur Enregistrer.
    Lorsque vous activez le routage dynamique, une stratégie est automatiquement ajoutée pour autoriser le trafic vers les adresses de multidiffusion réservées utilisées par l'OSPF.
  2. Configurez le routeur connecté à la ligne louée du site 1 de sorte qu'il autorise le protocole OSPF pour le routage dynamique.

Par exemple, si le site 1 utilise un routeur Cisco, ajoutez les lignes suivantes au fichier de configuration du routeur :

router ospf 1
log-adjacency-changes
network 172.16.0.0 0.0.0.255 area 0
network 10.0.2.0 0.0.0.255 area 0

  1. Après avoir configuré le routeur, ouvrez les Statistiques du Trafic et des performances (Rapport d'État).
  2. Dans la section relative au routage dynamique, vérifiez que le Firebox et le routeur sont connectés et s'envoient mutuellement des mises à jour.

Une fois le routage dynamique configuré, vous pouvez ensuite configurer l'authentification et restreindre la stratégie OSPF pour n'écouter que les interfaces appropriées.

Configurer le routage dynamique sur le site 2

Pour configurer un routage dynamique au site 2, répétez les mêmes étapes avec les adresses appropriées dans la configuration de routage dynamique.

  1. Sélectionnez Réseau > Routage dynamique pour autoriser le routage dynamique avec OSPF sur le Firebox du site 2.

Pour le site 2, le fichier de configuration de démon de routage OSPF contient le texte suivant :

router ospf

ospf router-id 10.50.2.1

network 10.50.2.0/24 area 0

network 10.50.1.0/24 area 0

  1. Configurez le routeur connecté à la ligne louée du site 2 de sorte qu'il autorise le protocole OSPF pour le routage dynamique.

Par exemple, si vous utilisez un routeur Cisco, ajoutez les lignes suivantes au fichier de configuration du routeur :

router ospf 1

log-adjacency-changes

network 172.16.0.0 0.0.0.255 area 0

network 10.50.2.0 0.0.0.255 area 0

  1. Une fois le routeur configuré, sélectionnez État du système > Routes et vérifiez que le Firebox et le routeur sont connectés et s'envoient mutuellement des mises à jour.
  1. Sélectionnez Réseau > Routage dynamique pour autoriser le routage dynamique avec OSPF sur le Firebox du site 2.

Pour le site 2, le fichier de configuration de démon de routage OSPF contient le texte suivant :

router ospf
ospf router-id 10.50.2.1
network 10.50.2.0/24 area 0
network 10.50.1.0/24 area 0

  1. Configurez le routeur connecté à la ligne louée du site 2 de sorte qu'il autorise le protocole OSPF pour le routage dynamique.

Par exemple, si vous utilisez un routeur Cisco, ajoutez les lignes suivantes au fichier de configuration du routeur :

router ospf 1
log-adjacency-changes
network 172.16.0.0 0.0.0.255 area 0
network 10.50.2.0 0.0.0.255 area 0

  1. Après avoir configuré le routeur, ouvrez les Statistiques du Trafic et des performances (Rapport d'État).
  2. Dans la section relative au routage dynamique, vérifiez que le Firebox et le routeur sont connectés et s'envoient mutuellement des mises à jour.

Configurer le réseau Branch Office VPN sur le site 1

Dans le présent exemple, les paramètres de Phase 1 et Phase 2 par défaut sont utilisés.

Sur le site 1, configurer la passerelle du réseau Branch Office VPN vers le site 2

  1. Sélectionnez VPN > Branch Office VPN.
  2. À côté de la liste Passerelles, cliquez sur Ajouter.
    La page de paramètres Passerelle s'ouvre.
  3. Dans la zone de texte Nom de la Passerelle, entrez un nom permettant d'identifier la passerelle en question.

    Par exemple, entrez passerelle vers site 2.
  4. Sélectionnez Utiliser la Clé Pré-Partagée. Saisissez une clé partagée à utiliser sur les deux périphériques.
  5. Dans la section Endpoints de Passerelle, cliquez sur Ajouter.
    La boîte de dialogue Paramètres des Endpoints de Passerelle apparaît.

Capture d'écran de la boîte de dialogue Paramètres des Endpoints de Passerelle, onglet Passerelle locale

  1. Dans l'onglet Passerelle Locale, dans la zone de texte Par Adresse IP, saisissez l'adresse IP de l'interface externe du Firebox du site 1, 203.0.113.2.
  2. Sélectionnez l'onglet Passerelle distante.

Capture d'écran de la boîte de dialogue Paramètres des Endpoints de Passerelle, onglet Passerelle distante

  1. Dans la section Passerelle Distante, pour l'adresse IP de la passerelle distante, saisissez l'adresse IP de l'interface externe du Firebox du Site 2, 198.51.100.2.
  2. Dans la section Passerelle Distante, pour l'ID de passerelle, saisissez l'adresse IP de l'interface externe du Firebox du site 2, 198.51.100.2.
  3. Cliquez sur OK.

    Les Endpoints de Passerelle que vous avez ajoutés apparaissent dans la boîte de dialogue Nouvelle Passerelle.
  4. Cliquez sur Enregistrer.
  1. Sélectionnez VPN > Passerelles Branch Office.
  2. Cliquez sur Ajouter.
    La boîte de dialogue Nouvelle Passerelle s'affiche.
  3. Dans la zone de texte Nom de la Passerelle, entrez un nom permettant d'identifier la passerelle en question.
    Dans le présent exemple, entrez Passerelle vers le site 2.
  4. Sélectionnez Utiliser la Clé Pré-Partagée. Saisissez une clé partagée à utiliser sur les deux périphériques.
  5. Dans la section Endpoints de Passerelle, cliquez sur Ajouter.
    La boîte de dialogue Endpoints de la Nouvelle Passerelle apparaît.

Capture d'écran de la boîte de dialogue Paramètres d'Endpoints de la Nouvelle Passerelle

  1. Dans la section Passerelle Locale, dans la zone de texte Adresse IP, saisissez l'adresse IP de l'interface externe du Firebox du site 1, 203.0.113.2.
  2. Sélectionnez l'onglet Passerelle distante.
  3. Dans la section Passerelle Distante, pour l'adresse IP de la passerelle distante, tapez l'adresse IP de l'interface externe du périphérique Firebox du site 2, 198.51.100.2.
  4. Dans la section Passerelle Distante, pour l'ID de passerelle, saisissez l'adresse IP de l'interface externe du Firebox du site 2, 198.51.100.2.
  5. Cliquez sur OK.
    Les Endpoints de Passerelle que vous avez ajoutés apparaissent dans la boîte de dialogue Nouvelle Passerelle.
  6. Cliquez sur OK.

Sur le site 1, configurer le tunnel Branch Office VPN vers le site 2

  1. Sélectionnez VPN > Tunnels Branch Office.
  2. Cliquez sur Ajouter.

    La boîte de dialogue Nouveau tunnel s'affiche.
  3. Dans la zone de texte Nom de tunnel, entrez le nom du tunnel.
  4. Cliquez sur Ajouter.

    La boîte de dialogue Paramètres de route de tunnel s'affiche.

Capture d'écran de la boîte de dialogue Paramètres de route de tunnel

  1. Dans la section IP locale, sélectionnez IP réseau dans la liste déroulante Choisir le type.
  2. Dans la zone de texte IP Réseau, tapez l'adresse IP du réseau approuvé du site 1, 10.0.1.0/24.
  3. Dans la section IP Distante, dans la liste déroulante Choisir le Type, sélectionnez IP Réseau.
  4. Dans la zone de texte IP Réseau, tapez l'adresse IP du réseau approuvé du site 2, 10.0.1.0/24.
  5. Cliquez sur OK.
    La route du tunnel apparaît dans la boîte de dialogue Nouveau tunnel.
  1. Sélectionnez VPN > Tunnels Branch Office.
  2. Cliquez sur Ajouter.
    La boîte de dialogue Nouveau tunnel s'affiche.
  3. Dans la zone de texte Nom de tunnel, entrez le nom du tunnel.
  4. Cliquez sur Ajouter.
    La boîte de dialogue Paramètres de route de tunnel s'affiche.

Capture d'écran de la boîte de dialogue Paramètres de route de tunnel

  1. Dans la zone de texte Local, tapez l'adresse IP du réseau approuvé du site 1, 10.0.1.0/24.
  2. Dans la zone de texte Distant, tapez l'adresse IP du réseau approuvé du site 2, 10.50.1.0/24.
  3. Cliquez sur OK.
    La route du tunnel apparaît dans la boîte de dialogue Nouveau tunnel.

Activez le basculement vers VPN dans les paramètres VPN globaux du Site 1.

  1. Sélectionnez VPN > Paramètres Globaux.
    La boîte de dialogue Paramètres VPN globaux apparaît.

Capture d'écran de la page Paramètres VPN globaux, section Paramètres IPSec

  1. Cochez la case Activer l'utilisation de routes personnalisées (statiques ou dynamiques) pour déterminer si IPSec est utilisé.
  2. Cliquez sur Enregistrer.
  1. Sélectionnez VPN > Paramètres VPN.
    La boîte de dialogue Paramètres VPN s'affiche.

Capture d'écran de la boîte de dialogue Paramètres VPN, section Paramètres IPSec

  1. Cochez la case Activer l'utilisation de routes personnalisées (statiques ou dynamiques) pour déterminer si IPSec est utilisé.
  2. Cliquez sur OK.
  3. Enregistrez la configuration dans le périphérique.

Configurer le réseau Branch Office VPN sur le site 2

Sur le site 2, configurer la passerelle Branch Office VPN vers le site 1

  1. Sélectionnez VPN > Passerelles Branch Office.
  2. Cliquez sur Ajouter.

    La boîte de dialogue Nouvelle Passerelle s'affiche.
  3. Dans la zone de texte Nom de la Passerelle, entrez un nom permettant d'identifier la passerelle en question.

    Dans cet exemple, tapez passerelle site 1.
  4. Sélectionnez Utiliser la Clé Pré-Partagée. Saisissez une clé partagée à utiliser sur les deux périphériques.
  5. Dans la section Endpoints de Passerelle, cliquez sur Ajouter.

    La boîte de dialogue Endpoints de la Nouvelle Passerelle apparaît.

Capture d'écran de la boîte de dialogue Paramètres d'endpoints de la passerelle

  1. Dans l'onglet Passerelle Locale, saisissez l'adresse IP de l'interface externe du Firebox du Site 2, 198.51.100.2.
  2. Sélectionnez l'onglet Passerelle Distante.

Capture d'écran de la boîte de dialogue Paramètres des Endpoints de Passerelle, onglet Passerelle distante

  1. Dans la section Passerelle Distante, pour l'adresse IP de la passerelle distante, saisissez l'adresse IP de l'interface externe du Firebox du Site 1, 203.0.113.2.
  2. Pour l'ID de la passerelle, tapez l'adresse IP de l'interface externe du périphérique Firebox du Site 1, 203.0.113.2.
  3. Cliquez sur OK.

    Les Endpoints de Passerelle que vous avez ajoutés apparaissent dans la boîte de dialogue Nouvelle Passerelle.
  4. Cliquez sur Enregistrer.
  1. Sélectionnez VPN > Passerelles Branch Office.
  2. Cliquez sur Ajouter.

    La boîte de dialogue Nouvelle Passerelle s'affiche.
  3. Dans la zone de texte Nom de la Passerelle, entrez un nom permettant d'identifier la passerelle en question.
    Dans cet exemple, tapez Passerelle site 2.
  4. Sélectionnez Utiliser la Clé Pré-Partagée. Saisissez une clé partagée à utiliser sur les deux périphériques.
  5. Dans la section Endpoints de Passerelle, cliquez sur Ajouter.
    La boîte de dialogue Endpoints de la Nouvelle Passerelle apparaît.

Capture d'écran de la boîte de dialogue Paramètres d'Endpoints de la Nouvelle Passerelle

  1. Dans la section Passerelle Locale, saisissez l'adresse IP de l'interface externe du Firebox du Site 2, 198.51.100.2.
  2. Sélectionnez l'onglet Passerelle Distante.
  3. Dans la section Passerelle Distante, pour l'adresse IP de la passerelle distante, saisissez l'adresse IP de l'interface externe du Firebox du Site 1, 203.0.113.2.
  4. Pour l'ID de la passerelle, tapez l'adresse IP de l'interface externe du périphérique Firebox du Site 1, 203.0.113.2.
  5. Cliquez sur OK.
    Les Endpoints de Passerelle que vous avez ajoutés apparaissent dans la boîte de dialogue Nouvelle Passerelle.
  6. Cliquez sur OK.

Sur le site 2, configurer le tunnel Branch Office VPN vers le site 1

  1. Sélectionnez VPN > Tunnels Branch Office.
  2. Cliquez sur Ajouter.

    La boîte de dialogue Nouveau tunnel s'affiche.
  3. Dans la zone de texte Nom de tunnel, entrez le nom du tunnel.
  4. Cliquez sur Ajouter.

    La boîte de dialogue Paramètres de route de tunnel s'affiche.

Capture d'écran de la boîte de dialogue Paramètres de route de tunnel

  1. Dans la section IP locale, sélectionnez IP réseau dans la liste déroulante Choisir le type.
  2. Dans la zone de texte IP Réseau, tapez l'adresse IP du réseau approuvé du site 2, 10.0.1.0/24.
  3. Dans la section IP Distante, dans la liste déroulante Choisir le Type, sélectionnez IP Réseau.
  4. Dans la zone de texte IP Réseau, tapez l'adresse IP du réseau approuvé du site 1, 10.0.1.0/24.
  5. Cliquez sur OK.

    La route du tunnel apparaît dans la boîte de dialogue Nouveau tunnel.
  1. Sélectionnez VPN > Tunnels Branch Office.
  2. Cliquez sur Ajouter.
    La boîte de dialogue Nouveau tunnel s'affiche.
  3. Dans la zone de texte Nom de tunnel, entrez le nom du tunnel.
  4. Cliquez sur Ajouter.
    La boîte de dialogue Paramètres de route de tunnel s'affiche.

Capture d'écran de la boîte de dialogue Paramètres de route de tunnel

  1. Dans la zone de texte Local, tapez l'adresse IP du réseau approuvé du Site 2, 10.50.1.0/24.
  2. Dans la zone de texte Distant, tapez l'adresse IP du réseau approuvé du Site 1, 10.0.1.0/24.
  3. Cliquez sur OK.
    La route du tunnel apparaît dans la boîte de dialogue Nouveau tunnel.

Activez le basculement vers VPN dans les paramètres VPN globaux du Site 2.

  1. Sélectionnez VPN > Paramètres Globaux.
    La boîte de dialogue Paramètres VPN globaux apparaît.

Capture d'écran de la page Paramètres VPN globaux, section Paramètres IPSec

  1. Cochez la case Activer l'utilisation de routes personnalisées (statiques ou dynamiques) pour déterminer si IPSec est utilisé.
  2. Cliquez sur Enregistrer.
  1. Sélectionnez VPN > Paramètres VPN.
    La boîte de dialogue Paramètres VPN s'affiche.

Capture d'écran de la boîte de dialogue Paramètres VPN, section Paramètres IPSec

  1. Cochez la case Activer l'utilisation de routes personnalisées (statiques ou dynamiques) pour déterminer si IPSec est utilisé.
  2. Cliquez sur OK.
  3. Enregistrez la configuration dans le périphérique.

Voir Également

Configurer un Réseau Branch Office VPN pour procéder à un Basculement à partir d'une ligne privée

Utiliser un réseau Branch Office VPN pour le basculement à partir d'une ligne privée (BGP)