Gérer des réseaux privés VPN pour des périphériques Firebox Connectés
Dans Dimension, vous pouvez créer et gérer des VPN hub-and-spoke entre vos Firebox qui sont gérés par Dimension. Avec un VPN hub and spoke, un Firebox est le hub, ou emplacement central, du tunnel BOVPN, et un Firebox est le spoke, ou emplacement distant, du tunnel BOVPN. Pour chaque VPN, vous devez ajouter un périphérique hub, mais vous pouvez ajouter beaucoup plus de périphériques spoke qui utilisent le même périphérique hub. Un périphérique spoke peut aussi être le périphérique hub dans un autre tunnel BOVPN, mais un périphérique ne peut à la fois un hub et un spoke dans le même tunnel BOVPN.
Lorsque vous créez un tunnel BOVPN sur Dimension, vous ajoutez les ressources VPN et spécifiez les modèles de sécurité à utiliser. Une Ressource VPN est l'ensemble d'adresses IP qui peuvent être utilisées pour envoyer le trafic via le tunnel BOVPN. Un Modèle de Sécurité est l'ensemble de paramètres que vous sélectionnez pour configurer les passerelles et tunnels BOVPN. Dimension comporte un Modèle de Sécurité intégré qui active les paramètres de sécurité les plus élevés, tels que recommandés par WatchGuard. Vous pouvez aussi créer des Modèles de Sécurité personnalisés.
Les tunnels BOVPN que vous créez entre deux périphériques Firebox gérés par Dimension peuvent être configurés pour autoriser le trafic à passer dans les deux sens entre les périphériques hub et les périphériques spoke, ou pour ne laisser passer le trafic que dans un sens. Vous pouvez configurer un tunnel BOVPN pour qu'il n'autorise que le trafic entre le périphérique hub et chaque périphérique spoke (VPN hub and spoke traditionnel), ou qu'il autorise également le trafic entre les périphériques spoke (VPN hub and spoke avec basculement de tunnel). Vous pouvez aussi utiliser un multi-WAN pour un basculement VPN pour consacrer des interfaces externes ou pour restreindre les interfaces externes.
Pour des instructions pour l'installation d'un managed VPN depuis Dimension, voir Configurer les Managed VPN.
VPN en hub and spoke traditionnel
Lorsque vous configurez un VPN hub and spoke traditionnel, sur chaque Firebox, vous configurez une passerelle BOVPN simple qui comprend une passerelle simple avec une paire d'endpoints. l'endpoint spoke est configuré avec une adresse IP dynamique ou un nom de domaine, et l'endpoint hub est configuré avec une adresse IP statique. Vous pouvez aussi spécifier une ressource VPN sans route (0.0.0.0) sur le périphérique spoke et le trafic vers l'Internet sera routé via le périphérique hub.
Par exemple, si vous créez un tunnel unique qui route le trafic de 192.168.1.0/24 sur le périphérique spoke vers 10.0.1.0/24 sur le périphérique hub, en autorisant le trafic dans les deux directions, la configuration du tunnel est :
192.168.1.0/24 <-> 10.0.1.0/24
VPN Hub and Spoke avec Basculement de Tunnel
Pour un VPN hub and spoke avec Basculement de Tunnel, sur chaque Firebox, vous configurez une passerelle BOVPN simple qui comprend une passerelle simple avec une paire d'endpoints. Lorsque vous spécifiez les routes du tunnel, vous configurez chaque route pour autoriser les ressources VPN à chaque périphérique spoke à communiquer avec le périphérique hub et avec les autres périphériques spoke qui sont connectés au périphérique hub.
Par exemple, si vous créez un tunnel simple sur chaque périphérique spoke, avec des routes de tunnel qui comprennent les ressources VPN pour le périphérique hub (10.0.1.0/24) et les autres périphériques spoke (spoke A : 192.168.1.0/24, spoke B : 192.168.2.0/24), et que cela autorise le trafic dans les deux directions, les routes de tunnel ressemblent à cela :
Tunnel A — Tunnel entre spoke A et périphérique hub
192.168.1.0/24 <-> 10.0.1.0/24
192.168.1.0/24 <-> 192.168.2.0/24
Tunnel B — Tunnel entre spoke B et périphérique hub
192.168.2.0/24 <-> 10.0.1.0/24
192.168.2.0/24 <-> 192.168.1.0/24
Dans cet exemple, le trafic est routé du spoke A au spoke B via le périphérique hub.
VPN hub and spoke avec Multi-WAN
Vous pouvez aussi utiliser un multi-WAN dans votre configuration hub and spoke pour un basculement VPN pour consacrer des interfaces externes ou pour restreindre les interfaces externes.
Basculement VPN
Lorsque vous configurez un VPN hub and spoke pour un basculement VPN, vous configurez deux interfaces externes sur les périphériques hub et spoke dans le tunnel. Seul un tunnel simple doit être ajouté entre les périphériques hub et spoke, mais les interfaces externes doivent être configurées pour le basculement VPN.
Sur chaque périphérique hub et spoke, vous ajoutez plus d'une paire d'endpoint de passerelle dans la configuration passerelle BOVPN. Vous associez ensuite un modèle de sécurité avec la configuration, qui comprend soit un IKE keepalive ou des paramètres DPD pour déterminer les options de basculement. Les paires d'endpoint de la passerelle sont générés dans l'ordre que vous spécifiez dans la configuration de la passerelle.
Par exemple, si votre périphérique hub a trois interfaces externes (H1, H2, H3) et votre périphérique spoke a deux interfaces externes (S1, S2), l'ordre des paires d'endpoints de la passerelle est :
H1–S1, H2–S1, H3–S1, H1–S2, H2–S2, H2–S2
Dans cet exemple, si votre tunnel possède plus d'un ensemble de paires d'endpoints de passerelle, s'il est configuré pour autoriser le trafic entre votre périphérique hub et le périphérique spoke (192.168.1.0/24) et s'il autorise le trafic dans les deux directions, les paires d'endpoint de la passerelle ressembleront à ceci :
Ordre des paires d'endpoint de la passerelle du périphérique Hub
Hub Externe-1 <-> Spoke Externe-1
Hub Externe-2 <-> Spoke Externe-1
Hub Externe-1 <-> Spoke Externe-2
Hub Externe-2 <-> Spoke Externe-2
Ordre des paires d'endpoint de la passerelle du périphérique spoke
Les adresses IP sont inversées, mais l'ordre est le même :
Spoke Externe-1 <-> Hub Externe-1
Spoke Externe-1 <-> Hub Externe-2
Spoke Externe-2 <-> Hub Externe-1
Spoke Externe-2 <-> Hub Externe-2
Interfaces Externes dédiées
Une autre option est d'activer plus d'une interface externe sur vos périphériques spoke. Vous pouvez ensuite choisir d'utiliser une interface externe spécifique pour envoyer le trafic vers des emplacements spécifiques.
Pour ce type de VPN hub and spoke, vous configurez une passerelle BOVPN sur chaque périphérique spoke pour une interface locale qui participe au VPN. Vous configurez ensuite un tunnel BOVPN pour chaque passerelle et associez des ressources VPN spécifiques à cette passerelle.
Par exemple, vous configurez votre périphérique spoke avec deux interfaces BOVPN et deux tunnels BOVPN, un pour chaque interface. Puis, vous configurez votre périphérique hub avec plus d'une interface externe et vous ajoutez deux passerelles BOVPN et deux tunnels BOVPN pour le périphérique hub. Lorsque vous configurez les passerelles, vous spécifiez l'interface vers laquelle le trafic est dirigé. Ceci vous permet de contrôler la destination du trafic via le tunnel
Restreindre les Interfaces Externes
Quel que soit le nombre d'interfaces externes configurées sur votre Firebox, vous pouvez utiliser vos paramètres VPN pour restreindre le trafic vers des interfaces spécifiques. Lorsque vous configurez les paramètres pour les périphériques hub et spoke, spécifiez quelles interfaces externes peuvent être utilisées pour envoyer le trafic via le tunnel.
Modèles de sécurité
Un Modèle de Sécurité définit les paramètres de Phase 1 et de Phase 2 de votre tunnel BOVPN et configure ces paramètres pour tous les Fireboxes inclus dans le VPN hub-et-spoke :
- Parcours NAT (Phase 1)
- IKE Keep-Alive (Phase 1)
- Détection DPD (Phase 1)
- Paramètres de Transformation (Phase 1)
- Authentification
- Chiffrement
- Durée de Vie SA
- Groupe de Clés
- Perfect Forward Secrecy (Phase 2)
- Proposition IPsec (Phase 2)
- Authentification
- Chiffrement
- Forcer l'expiration de la clé pour la durée et le trafic
Lorsque vous configurez un managed VPN, les paramètres de Phase 1 sont automatiquement configurés. Lorsque les périphériques hub et spoke utilisent des adresses IP statiques pour le tunnel BOVPN, le mode peut être défini comme Restauration automatique principale à agressif. Si plus d'une périphérique dans le tunnel BOVPN possède une adresse dynamique, le mode doit être défini comme Agressif. Puis, la proposition de Phase 2 est toujours définie comme ESP (Encapsulating Security Payload - Association de sécurité).
Ressources VPN
Une Ressource VPN spécifie les adresses IP utilisées dans les routes de tunnel BOVPN. Il s'agit des ressources qui sont partagées via le tunnel BOVPN. Chaque ressource VPN comprend une liste d'hôtes et/ou des Adresses IP du réseau qui peuvent être utilisées dans le tunnel.
Lorsque vous configurez un VPN hab and spoke traditionnel, vous pouvez spécifier la direction dans laquelle le trafic peut circuler en direction ou en provenance de chaque adresse IP. Vous pouvez aussi choisir de configurer des adresses 1:1 NAT pour chaque adresse IP.
Si vous ajoutez un tunnel BOVPN VIF, pour chaque adresse IP vous pouvez configurer les mesures pour les routes associées avec chaque périphérique.
Passerelles
Lorsque vous exécutez les assistants Hub Device Wizard et Spoke Device Wizard pour configurer un VPN géré à partir de Dimension, vous spécifiez quelles interfaces externes d'un Firebox utiliser pour vous connecter à un réseau spécifique, et vous configurez une passerelle à utiliser dans votre tunnel BOVPN hub-et-spoke. Vous configurez également les ressources VPN à utiliser dans le tunnel.