Configurer un BOVPN Vers un Firebox Géré Localement ou un Endpoint VPN Tiers
S'applique à : Fireboxes Gérés sur le Cloud
Vous pouvez configurer un VPN à partir d'un Firebox géré sur le cloud vers n'importe quel Firebox ou endpoint VPN tiers prenant en charge les VPN IKEv2 avec des paramètres compatibles. Vous pouvez configurer une interface virtuelle BOVPN vers un endpoint VPN tiers ou un endpoint cloud. Les endpoints pris en charge comptent des réseaux virtuels en nuage tels que Microsoft Azure, Amazon AWS et Cisco VTI.
Pour configurer un BOVPN entre deux Fireboxes gérés sur le cloud appartenant au même compte WatchGuard Cloud, consultez la section Configurer un BOVPN Entre des Fireboxes Gérés sur le Cloud.
Lorsque vous configurez le BOVPN, WatchGuard Cloud déploie la configuration sur le Firebox géré sur le cloud. Vous devez ensuite configurer l'endpoint distant avec les mêmes paramètres.
Lorsque vous ajoutez un BOVPN vers un Firebox géré sur le cloud, vous configurez :
- Gateways VPN — Les réseaux externes que les deux périphériques utilisent pour se connecter.
- Clé pré-partagée — Secret partagé utilisé pour chiffrer et déchiffrer les données transitant via le tunnel.
- Ressources Réseau — Réseaux pouvant envoyer et recevoir du trafic via le tunnel.
- Adresse IP Virtuelle — (facultatif) Paramètre requis si vous souhaitez ajouter le BOVPN à une action SD-WAN.
- Paramètres de Sécurité — Paramètres d'authentification et de chiffrement de la négociation VPN.
BOVPN et Routage
Dans la configuration BOVPN, vous spécifiez les ressources réseau accessibles via le tunnel. Les ressources sélectionnées d'un endpoint deviennent des routes statiques sur l'autre endpoint VPN, avec le BOVPN en tant que passerelle. La métrique que vous spécifiez pour chaque ressource figure dans la table de routage. Le Firebox utilise la table de routage pour déterminer s'il doit transmettre le trafic via le tunnel BOVPN.
Il est impossible de spécifier les ressources réseau des deux endpoints au sein du même sous-réseau. Cela signifie qu'il est impossible de router le trafic via un tunnel BOVPN entre des réseaux privés employant la même plage d'adresses IP.
Si vous ajoutez une ressource réseau BOVPN à route nulle (0.0.0.0/0), une route par défaut qui transmet l'ensemble du trafic réseau (y compris le trafic destiné à WatchGuard Cloud) via le tunnel VPN est créée.
Si vous ajoutez une ressource réseau BOVPN à route nulle et que l'endpoint VPN distant ne peut pas router le trafic du Firebox géré sur le cloud vers WatchGuard Cloud, il devient impossible de gérer ou surveiller le Firebox.
Pour un VPN entre un Firebox et un endpoint VPN géré localement ou par un tiers
- Les ressources réseau que vous spécifiez pour l'endpoint distant spécifient le trafic que le Firebox route via le tunnel. Ces routes deviennent des routes statiques sur le Firebox géré sur le cloud avec le BOVPN faisant office de passerelle.
- Les ressources réseau que vous spécifiez pour le Firebox sont les ressources que vous souhaitez faire router par l'endpoint distant via le tunnel VPN vers le Firebox. Les ressources que vous spécifiez ici ne limitent pas le trafic que le Firebox accepte via le tunnel VPN. Afin que le Firebox puisse recevoir le trafic VPN vers ces ressources, l'endpoint distant doit être configuré de manière à router le trafic destiné à ces adresses IP via le tunnel.
BOVPN et Déploiement Automatique
Lorsque vous ajoutez, modifiez ou supprimez un BOVPN, la configuration BOVPN est automatiquement déployée afin que le Firebox géré sur le cloud puisse la télécharger. Pour confirmer que le déploiement automatique contient uniquement des modifications de configuration BOVPN, il est impossible d'enregistrer les modifications BOVPN si le Firebox présente d'autres modifications de configuration non déployées.
Avant d'ajouter, modifier ou supprimer un BOVPN, confirmez que le Firebox ne présente pas de modification non déployée.
Ajouter un BOVPN
Pour ajouter un BOVPN au Firebox géré sur le cloud, à partir de WatchGuard Cloud :
- Pour ouvrir la page BOVPN, utilisez l'une des méthodes suivantes :
- Pour gérer les BOVPN de tous les Fireboxes du compte actuellement sélectionné, sélectionnez Configurer > VPN
- Pour gérer les BOVPN d'un Firebox spécifique, sur la page Configuration du Périphérique, cliquez sur la mosaïque Branch Office VPN.
- Sur l'une des pages BOVPN, cliquez sur la mosaïque Branch Office VPN.
La page BOVPN indique les BOVPN actuellement configurés.
- Cliquez sur Ajouter un BOVPN.
La page Ajouter un BOVPN s'ouvre. - Dans la zone de texte Nom, saisissez un nom pour ce BOVPN.
- Sélectionnez le Firebox Géré Localement ou l'Endpoint VPN Tiers.
Le contenu de la section Endpoint B indiquant précédemment la liste des Fireboxes affiche désormais la zone de texte Nom de l'Endpoint.
- Dans la section Endpoint A, sélectionnez un Firebox géré sur le cloud de votre compte.
Si vous avez ajouté le BOVPN à partir d'une page de Configuration du Périphérique, la liste Endpoint A ne contient qu'un seul Firebox. - Dans la section Endpoint B, dans la zone de texte Nom de l'Endpoint, saisissez un nom permettant d'identifier l'endpoint VPN distant.
La configuration BOVPN utilise ce nom pour désigner l'Endpoint B.
- Cliquez sur Suivant.
La page des paramètres des Gateways VPN s'ouvre.
- Pour le Firebox géré sur le cloud, sélectionnez un réseau externe à utiliser pour cette connexion VPN.
- Spécifiez l'adresse IP ou un nom de domaine résolu en tant que l'adresse IP du réseau externe du Firebox.
- Pour l'endpoint distant, dans la zone de texte IP ou Nom de Domaine, saisissez une adresse IP ou un nom de domaine résolu en tant que l'adresse IP de l'endpoint distant.
- Dans la zone de texte Clé Pré-Partagée, saisissez la clé pré-partagée pour sécuriser ce tunnel VPN.
- Cliquez sur Suivant.
- Sélectionnez les réseaux internes et invités du Firebox pour lesquels vous souhaitez octroyer l'accès via le tunnel VPN.
- Pour ajouter une ressource réseau autre que les réseaux internes ou invités :
- Dans la section des ressources Firebox, cliquez sur Ajouter une Ressource Réseau.
- Dans la zone de texte Ressource Réseau, saisissez l'adresse IP du réseau et le masque de réseau.Astuce !
- Dans la zone de texte Métrique, vous pouvez modifier la métrique. La valeur par défaut est 1.
- Cliquez sur Ajouter.
La ressource réseau est ajoutée aux paramètres de Trafic de l'endpoint.
- Ajouter une ressource réseau pour l'endpoint distant
- : Dans la section du deuxième point d'endpoint, cliquez sur Ajouter une ressource Réseau.
- Dans la zone de texte Ressource Réseau, saisissez l'adresse IP du réseau et le masque de réseau.
- Dans la zone de texte Métrique, vous pouvez modifier la métrique. La valeur par défaut est 1.
- Cliquez sur Ajouter.
La ressource réseau est ajoutée aux paramètres de Trafic de l'endpoint.
- Répétez l'étape précédente pour ajouter d'autres ressources réseau.
- (Facultatif) Pour chaque endpoint, dans la zone de texte Adresse IP Virtuelle, saisissez une adresse IP.
Nous vous recommandons de spécifier une adresse IP appartenant à une plage d'adresses IP d'un réseau privé non utilisée pour le routage sur l'un ou l'autre des endpoints.
Vous devez spécifier des adresses IP virtuelles avant d'ajouter ce BOVPN à une action SD-WAN. Pour l'utiliser dans une action SD-WAN, spécifiez une adresse IP d'hôte comprenant un masque de réseau /32.
- Cliquez sur Suivant.
La page paramètres de Sécurité s'ouvre.
- Acceptez les paramètres de sécurité par défaut ou modifiez-les afin de refléter les paramètres pris en charge par l'endpoint VPN distant. Pour plus d'informations, consultez Configurer les Paramètres de Sécurité BOVPN.
- Cliquez sur Ajouter.
Le déploiement BOVPN est ajouté et la page Guide BOVPN s'ouvre.
- Pour ouvrir le Guide BOVPN dans un nouvel onglet de navigateur, cliquez sur Afficher le Guide.
Le Guide BOVPN s'ouvre dans un nouvel onglet de navigateur. Vous pouvez imprimer cette page ou l'enregistrer au format PDF. - Pour revenir à la liste BOVPN, cliquez sur Terminer.
Afficher le Guide BOVPN
Pour chaque BOVPN, WatchGuard Cloud génère un Guide VPN offrant une synthèse des paramètres de configuration VPN exigés par l'endpoint VPN distant. Vous pouvez consulter le Guide BOVPN sur la page Modifier le BOVPN. Pour plus d'informations, consultez Afficher le Guide BOVPN.
Configurer l'Endpoint VPN Distant
Sur l'endpoint VPN distant, ajoutez un VPN IKEv2 dont les paramètres correspondent aux paramètres VPN du Firebox géré sur le cloud. Pour plus d'informations, consultez Configurer les Paramètres de l'Endpoint VPN Distant sur un Firebox Géré Localement ou un Endpoint VPN Tiers.
Modifier ou Supprimer un BOVPN
Vous pouvez modifier ou supprimer un BOVPN sur la page BOVPN. Pour plus d'informations, consultez Gérer les BOVPN des Fireboxes Gérés sur le Cloud.