Tunnels Branch Office VPN Gérés (WSM)
Un réseau privé virtuel (VPN, Virtual Private Network) crée des connexions sécurisées entre des ordinateurs ou des réseaux situés à des emplacements différents. Chaque connexion est appelée un tunnel. Lorsqu'un tunnel VPN est créé, les deux endpoints du tunnel s'authentifient mutuellement. Les données du tunnel sont chiffrées. Seuls l'expéditeur et le destinataire du trafic peuvent les lire.
Les réseaux BOVPN (Branch Office Virtual Private Network)permettent aux entreprises de fournir une connectivité sécurisée et chiffrée entre des agences séparées géographiquement. Les réseaux et les hôtes d'un tunnel BOVPN peuvent être des sièges sociaux, des succursales (Branch Office), des utilisateurs distants ou des télétravailleurs. Ces communications contiennent souvent les types de données critiques échangés au sein du pare-feu de l'entreprise. Dans ce scénario, un réseau BOVPN fournit des connexions confidentielles entre ces bureaux. Cela rationalise la communication, réduit le coût des lignes dédiées et préserve la sécurité à chaque endpoint.
Le gestionnaire WatchGuard System Manager vous permet de créer rapidement et facilement des tunnels IPSec qui utilisent l'authentification et le chiffrement. Vous pouvez voir que ces tunnels fonctionnent avec d'autres tunnels et stratégies de sécurité. Ces tunnels s'appellent des tunnels BOVPN gérés. Un tunnel BOVPN manuel constitue un autre type de tunnel BOVPN que vous pouvez définir à l'aide de boîtes de dialogue. Pour des informations sur ce type de tunnel, consultez À propos des Tunnels Branch Office VPN IPSec Manuels.
Comment créer un tunnel BOVPN géré
Vous pouvez créer rapidement un tunnel manuel entre des périphériques à l'aide de la fonction glisser-déplacer et d'un simple assistant, tel qu'indiqué dans Créer des Tunnels Gérés entre les Périphériques.
Avant de créer des tunnels gérés, assurez-vous d'ajouter au Management Server les Fireboxes qui seront les endpoints du tunnel, tel que décrit dans Ajouter des Périphériques Gérés à Management Server.
En l'absence d'un certificat tiers ou autosigné, vous devez utiliser l'autorité de certification sur Management Server. Pour plus d'informations, consultez Configurer l'autorité de certification sur Management Server.
Avant d'ajouter ou de supprimer des interfaces externes Firebox, ou de déplacer l'interface externe, vous devez supprimer tous les tunnels VPN gérés. Une fois les modifications apportées à la configuration de l'interface externe terminées, créez de nouveaux tunnels gérés.
Options de tunnel
Vous disposez de plusieurs options pour personnaliser des tunnels VPN gérés :
- Si le réseau approuvé derrière l'un des périphériques comporte de nombreux réseaux routés ou secondaires que vous souhaitez autoriser à transiter par le tunnel, ajoutez-les manuellement en tant que ressources VPN du périphérique, tel que décrit dans Ajouter des ressources VPN.
- Si vous souhaitez restreindre les types de trafic autorisés à transiter par le tunnel BOVPN géré ou à envoyer des messages de journal à Log Server, vous devez utiliser un modèle de stratégie de pare-feu VPN. Vous pouvez également utiliser un modèle déjà défini sur Management Server. Pour plus d'informations, consultez Ajouter des modèles de Stratégie de pare-feu VPN.
- L'Assistant qui permet de créer des tunnels BOVPN gérés vous propose de choisir entre plusieurs paramètres de chiffrement. Ces paramètres sont compatibles avec la plupart des tunnels. Toutefois, si votre réseau a des exigences spéciales, vous pouvez créer vos propres paramètres, comme cela est décrit dans Ajouter des modèles de sécurité.
Basculement VPN
Le basculement VPN, décrit dans Configurer le Basculement VPN, est pris en charge par les tunnels BOVPN gérés. Si le basculement Multi-WAN est configuré et que vous créez des tunnels gérés, WatchGuard System Manager (WSM) définit automatiquement des paires de passerelles comprenant les interfaces externes des deux extrémités de votre tunnel. Aucune autre configuration n'est requise.
Paramètres VPN Globaux
Les paramètres VPN globaux de votre Firebox s'appliquent à tous les tunnels BOVPN manuels, tunnels gérés et tunnels Mobile VPN. Vous pouvez utiliser ces paramètres pour :
- Activer la fonction Passthru IPSec
- Effacer ou conserver les paramètres des paquets lorsque les bits Type de service (TOS) sont définis
- Activer l'utilisation de routes personnalisées pour déterminer si IPSec est utilisé (uniquement les tunnels BOVPN)
- Utiliser un serveur LDAP pour vérifier les certificats
- Configurer le Firebox de sorte qu'il envoie une notification lorsqu'un tunnel BOVPN est hors-service (tunnels BOVPN uniquement)
Pour modifier ces paramètres, dans Policy Manager, sélectionnez VPN > Paramètres VPN. Pour plus d'informations sur ces paramètres, consultez À propos des Paramètres VPN globaux.
État du tunnel BOVPN
Firebox System Manager vous permet de consulter l'état actuel des tunnels BOVPN. Ces informations figurent également sous l'onglet État du périphérique de WatchGuard System Manager. Pour plus d'informations, consultez État du Tunnel VPN et des services d'abonnement.
Renouveler la Clé des Tunnels BOVPN
Firebox System Manager vous permet de générer immédiatement de nouvelles clés pour les tunnels BOVPN au lieu d'attendre leur expiration. Pour plus d'informations, consultez Renouveler la Clé des Tunnels BOVPN.
Pour plus d'informations sur les tunnels BOVPN gérés, consultez :