Configurer un BOVPN Entre des Fireboxes Gérés sur le Cloud
S'applique à : Fireboxes Gérés sur le Cloud
Pour configurer un BOVPN entre deux Fireboxes gérés sur le cloud appartenant au même compte WatchGuard Cloud, vous créez une configuration BOVPN partagée. Lorsque vous ajoutez ou mettez à jour un BOVPN entre deux Fireboxes gérés sur le cloud, les paramètres de configuration BOVPN se déploient automatiquement afin que les deux Fireboxes puissent les télécharger.
Pour configurer un BOVPN entre des Fireboxes gérés sur le cloud n'appartenant pas au même compte WatchGuard Cloud, vous devez configurer le BOVPN séparément pour chaque Firebox. Pour plus d'informations, consultez Configurer un BOVPN Vers un Firebox Géré Localement ou un Endpoint VPN Tiers.
Lorsque vous ajoutez un BOVPN entre deux Fireboxes gérés sur le cloud, vous configurez :
- Gateways VPN — Réseaux externes que les deux périphériques utilisent pour se connecter
- Ressources Réseau — Réseaux pouvant envoyer et recevoir du trafic via le tunnel
- Adresse IP Virtuelle — (facultatif) Paramètre requis si vous souhaitez ajouter le BOVPN à une action SD-WAN
Tous les paramètres de sécurité du VPN sont configurés automatiquement avec les mêmes paramètres afin que les périphériques puissent établir une connexion.
BOVPN et Routage
Dans la configuration BOVPN, vous spécifiez les ressources réseau accessibles via le tunnel. Les ressources sélectionnées d'un endpoint deviennent des routes statiques sur l'autre endpoint VPN, avec le BOVPN en tant que passerelle. La métrique que vous spécifiez pour chaque ressource figure dans la table de routage. Le Firebox utilise la table de routage pour déterminer s'il doit transmettre le trafic via le tunnel BOVPN.
Il est impossible de spécifier les ressources réseau des deux endpoints au sein du même sous-réseau. Cela signifie qu'il est impossible de router le trafic via un tunnel BOVPN entre des réseaux privés employant la même plage d'adresses IP.
Si vous ajoutez une ressource réseau BOVPN à route nulle (0.0.0.0/0), une route par défaut qui transmet l'ensemble du trafic réseau (y compris le trafic destiné à WatchGuard Cloud) via le tunnel VPN est créée.
Si vous ajoutez une ressource réseau BOVPN à route nulle et que l'endpoint VPN distant ne peut pas router le trafic du Firebox géré sur le cloud vers WatchGuard Cloud, il devient impossible de gérer ou surveiller le Firebox.
BOVPN et Déploiement Automatique
Lorsque vous ajoutez, modifiez ou supprimez un BOVPN, WatchGuard Cloud crée automatiquement un nouveau déploiement que les deux Fireboxes peuvent télécharger. Pour chaque Firebox, le déploiement automatique contient les paramètres BOVPN mis à jour. Pour confirmer que le déploiement automatique contient uniquement des modifications de configuration BOVPN, il est impossible d'enregistrer les modifications BOVPN si l'un ou l'autre des périphériques présente d'autres modifications de configuration non déployées.
Avant d'ajouter, de modifier ou de supprimer un BOVPN entre deux Fireboxes appartenant au même compte, assurez-vous qu'aucun des Fireboxes ne présente de modification non déployée.
Ajouter un BOVPN Entre des Fireboxes Gérés sur le Cloud Appartenant au Même Compte
Vous pouvez ajouter un BOVPN sur la page BOVPN d'un Firebox spécifique, ou sur la page VPN, qui est une page de configuration partagée. Pour plus d'informations, consultez Gérer les BOVPN des Fireboxes Gérés sur le Cloud.
Pour ajouter un BOVPN, à partir de WatchGuard Cloud :
- Pour ouvrir la page BOVPN, utilisez l'une des méthodes suivantes :
- Pour gérer les BOVPN de tous les Fireboxes du compte actuellement sélectionné, sélectionnez Configurer > VPN
- Pour gérer les BOVPN d'un Firebox spécifique, sur la page Configuration du Périphérique, cliquez sur la mosaïque Branch Office VPN.
- Sur l'une des pages BOVPN, cliquez sur la mosaïque Branch Office VPN.
La page BOVPN indique les BOVPN actuellement configurés.
- Cliquez sur Ajouter un BOVPN.
La page Ajouter un BOVPN s'ouvre.
- Dans la zone de texte Nom, saisissez un nom pour ce BOVPN.
- Sélectionnez l'option afin de vous connecter à un Firebox géré sur le cloud WatchGuard.
Avec cette option, les deux sections Endpoint A et Endpoint B contiennent la liste des Fireboxes.
- Dans la section Endpoint A, sélectionnez un Firebox géré sur le cloud de votre compte.
Si vous avez ajouté le BOVPN à partir d'une page de Configuration du Périphérique, la liste Endpoint A ne contient qu'un seul Firebox. - Dans la section Endpoint B, sélectionnez un autre Firebox géré sur le cloud de ce compte.
La liste Endpoint B indique tous les Fireboxes gérés sur le cloud appartenant au même compte. - Cliquez sur Suivant.
La page Gateways VPN indique la liste de réseaux externes de chaque Firebox.
- Pour chaque endpoint, sélectionnez au moins un réseau externe que les endpoints utilisent pour se connecter.
- Pour chaque réseau sélectionné, spécifiez l'adresse IP ou un nom de domaine résolu en tant que l'adresse IP du réseau externe du Firebox.
- Si vous sélectionnez plusieurs réseaux pour un endpoint, l'Ordre détermine le réseau principal. Pour modifier l'ordre des réseaux, cliquez sur la poignée de déplacement d'un réseau et faites-la glisser vers le haut ou le bas de la liste.
- Cliquez sur Suivant.
La page Paramètres de trafic indique les réseaux internes et invités configurés sur chaque périphérique.
- Pour chaque endpoint, sélectionnez les réseaux internes ou invités pouvant envoyer et recevoir du trafic via ce tunnel.
- Pour spécifier une ressource réseau autre que les réseaux internes ou invités :
- Cliquez sur Ajouter une Ressource Réseau.
- Dans la zone de texte Ressource Réseau, saisissez l'adresse IP du réseau et le masque de réseau.Astuce !
- Dans la zone de texte Métrique, vous pouvez modifier la métrique. La valeur par défaut est 1.
- Cliquez sur Ajouter.
La ressource réseau est ajoutée aux paramètres de Trafic de l'endpoint.
- (Facultatif) Pour chaque endpoint, dans la zone de texte Adresse IP Virtuelle, saisissez une adresse IP.
Nous vous recommandons de spécifier une adresse IP appartenant à une plage d'adresses IP d'un réseau privé non utilisée pour le routage sur l'un ou l'autre des endpoints.
Vous devez spécifier des adresses IP virtuelles avant d'ajouter ce BOVPN à une action SD-WAN. Pour l'utiliser dans une action SD-WAN, spécifiez une adresse IP d'hôte comprenant un masque de réseau /32.
- Cliquez sur Enregistrer.
Les modifications de BOVPN sont déployées automatiquement afin que les deux Fireboxes puissent les télécharger. Le déploiement BOVPN est ajouté à l'Historique des Déploiements des deux Fireboxes.
Modifier ou Supprimer un BOVPN
Vous pouvez modifier ou supprimer un BOVPN sur la page BOVPN. Pour plus d'informations, consultez Gérer les BOVPN des Fireboxes Gérés sur le Cloud.