À propos des Tunnels Branch Office VPN IPSec Manuels
Un réseau privé virtuel (VPN) crée des connexions sécurisées entre des ordinateurs ou des réseaux situés à des emplacements différents. Chaque connexion est appelée un tunnel. Lorsqu'un tunnel VPN est créé, les deux endpoints du tunnel s'authentifient mutuellement. Les données dans le tunnel sont chiffrées, afin que seuls l'expéditeur et le destinataire du trafic puissent les lire.
Un réseaux Branch Office Virtual Private Network (BOVPN) permet aux entreprises de fournir une connectivité sécurisée et chiffrée entre des agences séparées géographiquement. Les réseaux et les hôtes d'un tunnel BOVPN peuvent être des sièges sociaux, des succursales, des endpoints basés sur le nuage, tels que Microsoft Azure ou Amazon AWS, des utilisateurs distants ou des télétravailleurs. Les communications BOVPN contiennent souvent les types de données critiques échangés au sein du pare-feu de l'entreprise. Dans ce scénario, un réseau BOVPN fournit des connexions confidentielles entre ces bureaux. Cela rationalise la communication, réduit le coût des lignes dédiées et préserve la sécurité à chaque endpoint.
Les tunnels BOVPN manuels offrent beaucoup d'options supplémentaires. Un tunnel BOVPN géré est un autre type de tunnel BOVPN que vous pouvez créer entre vos périphériques gérés de manière centralisée à l'aide de la fonction glisser-déplacer ou d'un assistant. Pour des informations sur ce type de tunnel, consultez Tunnels Branch Office VPN Gérés (WSM).
Les réseaux Branch Office VPN de WatchGuard utilisent IPSec ou TLS pour sécuriser le tunnel BOVPN. Le tunnel Branch Office VPN doit être connecté à une interface externe au périphérique à chaque extrémité du tunnel.
Pour des informations générales concernant le fonctionnement des VPN IPSec, consultez Fonctionnement des VPN IPSec. Pour plus d'informations concernant les VPN TLS, consultez À propos des tunnels Branch Office VPN over TLS.
BOVPN - Exigences et Planification
Pour créer un Branch Office VPN IPSec entre un Firebox et une autre passerelle VPN IPSec :
- Vous devez posséder deux Firebox ou un Firebox et une passerelle VPN IPSec tierce.
- Les deux passerelles doivent chacune avoir une interface avec une connexion à Internet.
- Vous devez savoir si l'adresse IP attribuée à l'autre périphérique VPN est statique ou dynamique. Si l'autre périphérique VPN a une adresse IP dynamique et utilise un DNS dynamique, vous pouvez spécifier le nom de domaine de ce périphérique. Si l'autre périphérique n'utilise pas de DNS dynamique, ce périphérique peut envoyer n'importe quelle chaîne de domaine non résoluble s'il est l'initiateur. Pour les endpoints dynamiques, vous devez utiliser le Mode Agressif IKEv1 ou IKEv2 (recommandé).
- Le fournisseur de services Internet de chaque périphérique VPN doit autoriser le trafic IPSec à traverser ses réseaux.
Certains fournisseurs de services Internet ne vous permettent pas de créer de tunnels VPN sur leurs réseaux à moins de passer à un niveau de service Internet qui prenne en charge les tunnels VPN. Pour que le VPN fonctionne correctement, assurez-vous que les ports et protocoles suivants sont autorisés :- Port UDP 500 (IKE ou Internet Key Exchange)
- Port UDP 4500 (Parcours NAT)
- Protocole IP 50 (ESP ou Encapsulating Security Payload)
Avant de pouvoir configurer un Branch Office VPN, vous devez choisir les paramètres de tunnel et de passerelle VPN à utiliser et vous devez connaître les adresses IP des réseaux privés dont vous souhaitez envoyer et recevoir le trafic via le tunnel :
- Pour utiliser une clé pré-partagée comme méthode d'identification, vous devez connaître la clé partagée (mot de passe) pour le tunnel. La même clé partagée doit être utilisée par les deux périphériques. La clé partagée peut comporter jusqu'à 79 caractères. Dans Fireware v12.5.4 ou les versions ultérieures, vous pouvez spécifier une clé pré-partagée hexadécimale. Pour plus d'informations sur les clés hexadécimales, consultez Clés Prépartagées Hexadécimales.
- Pour utiliser un certificat comme méthode d'identification, le même certificat doit être installé sur les deux endpoints.
- (Fireware v12.6.2 ou les versions ultérieures) Si vous sélectionnez Spécifier un certificat CA pour la vérification du endpoint distant, le certificat du pair VPN doit faire partie de la chaîne de certificats qui inclut le certificat CA racine ou intermédiaire spécifié. Si le certificat pair ne fait pas partie de la chaîne, le Firebox rejette les négociations de tunnel de Phase 1.
- Vous devez connaître la méthode de chiffrement utilisée pour le tunnel (3DES, AES 128 bits, AES 192 bits ou AES 256 bits). Dans Fireware v12.2 et les versions ultérieures, vous pouvez également indiquer AES-GCM (128 bits), AES-GCM (192 bits) ou AES-GCM (256 bits). Les deux périphériques VPN doivent utiliser la même méthode de chiffrement. Pour une performance et une sécurité optimales, nous vous recommandons d'utiliser un chiffrement AES ou meilleur sur tous les VPN branch office sur les périphériques Firebox pris en charge.
- Vous devez connaître la méthode d'authentification utilisée à chaque endpoint du tunnel (MD5, SHA-1, SHA2-256, SHA2-384, SHA2-512). Les deux périphériques VPN doivent utiliser la même méthode d'authentification.
- Vous devez connaître les adresses réseau des réseaux privés (approuvés) qui se trouvent derrière votre Firebox et celle du réseau qui se trouve derrière l'autre périphérique VPN, ainsi que leurs masques de sous-réseau.
- Si l'une des adresses IP privées des ordinateurs situés derrière votre Firebox est identique aux adresses IP des ordinateurs situés de l'autre côté du tunnel VPN, vous pouvez utiliser le routage 1-to-1 NAT pour masquer les adresses IP afin d'éviter un conflit. Pour plus d'informations, consultez Configurer 1-to-1 NAT via un Tunnel Branch Office VPN.
Nous vous conseillons d'enregistrer les informations concernant la configuration du Firebox local et les informations concernant la passerelle VPN distante à laquelle vous souhaitez vous connecter. Consultez Exemple de tableau d'informations de VPN pour obtenir une liste des informations à collecter. Vous pouvez également enregistrer ou imprimer la configuration BOVPN pour faciliter la comparaison des paramètres. Pour plus d'informations, consultez Utiliser les Rapports de Configuration BOVPN.
Options de Configuration du Tunnel BOVPN
Un tunnel BOVPN manuel peut être configuré de deux manières. La méthode que vous choisissez détermine la façon dont Firebox va décider si le trafic doit transiter par le tunnel.
Configurer une Passerelle BOVPN et ajouter des Tunnels BOVPN
Vous pouvez configurer une passerelle BOVPN et ajouter un ou plusieurs tunnels BOVPN qui l'utilisent. Cette option vous permet de configurer un tunnel BOVPN entre deux Firebox ou entre un Firebox et un autre périphérique qui utilise les mêmes paramètres de passerelle et de tunnels. Lorsque vous utilisez cette méthode de configuration, le Firebox routera systématiquement un paquet via le tunnel BOVPN si la source et la destination du paquet correspondent à un tunnel BOVPN configuré.
Pour voir comment configurer des passerelles et tunnels BOVPN dans Policy Manager, visionnez le didacticiel vidéo Branch Office VPN (12 minutes).
Pour plus d'informations sur la configuration des paramètres de tunnel et de passerelle, consultez
- Configurer des Passerelles BOVPN Manuelles — Configurez les points de connexion situés aux extrémités locale et distante du tunnel.
- Définir un Tunnel — Configurez les routes des tunnels et les paramètres de sécurité.
Configurer une Interface Virtuelle BOVPN
Vous pouvez configurer un BOVPN comme interface virtuelle BOVPN puis ajouter des routes qui passent par l'interface virtuelle. Lorsque vous utilisez cette méthode de configuration, le Firebox route un paquet via le tunnel en fonction de l'interface de sortie du paquet. Vous pouvez sélectionner une interface virtuelle BOVPN comme destination lorsque vous configurez les stratégies. L'envoi du trafic réalisé par le Firebox via le tunnel VPN est affecté par les routes statiques et dynamiques, et par le routage basé sur les stratégies.
Pour plus d'informations, consultez À propos des Interfaces Virtuelles BOVPN.
Stratégies de tunnel personnalisées
Lorsque vous configurez un tunnel BOVPN, Firebox ajoute automatiquement de nouveaux tunnels VPN aux stratégies BOVPN-Allow.in et BOVPN-Allow.out. Ces stratégies autorisent l'ensemble du trafic à passer par le tunnel. Si vous préférez ne pas utiliser ces stratégies, vous pouvez créer à la place des stratégies VPN personnalisées pour n'autoriser que certains types de trafic à emprunter le tunnel. Pour plus d'informations, consultez Définir des Stratégies de Tunnel Personnalisées.
Tunnels unidirectionnels
Si vous voulez créer un tunnel VPN qui n'autorise le trafic que dans un sens, vous pouvez configurer le tunnel afin qu'il utilise une NAT dynamique sortante. Cela peut s'avérer utile lorsque vous créez un tunnel vers un site distant où tout le trafic VPN provient d'une adresse IP publique. Pour plus d'informations, consultez Configurer la Traduction d'Adresses Réseau (NAT) Dynamique pour le Trafic Sortant via un Tunnel Branch Office VPN.
Basculement VPN
Les tunnels VPN basculent automatiquement sur l'interface WAN de sauvegarde au cours d'un basculement WAN. Vous pouvez configurer des tunnels BOVPN pour qu'ils puissent basculer vers l'endpoint d'un pair de sauvegarde si l'endpoint principal n'est plus disponible. Pour configurer les paramètres de basculement, vous devez définir au moins un endpoint de secours, tel que décrit dans Configurer le Basculement VPN.
Paramètres VPN Globaux
Les paramètres VPN globaux de votre Firebox s'appliquent aux tunnels BOVPN manuels, aux interfaces virtuelles BOVPN, aux tunnels BOVPN gérés et aux tunnels Mobile VPN. Vous pouvez utiliser ces paramètres pour :
- Activer la fonction pass-thru IPSec
- Effacer ou conserver les paramètres des paquets lorsque les bits Type de service (TOS) sont définis
- Activer l'utilisation de routes personnalisées pour déterminer si IPSec est utilisé
- Désactiver ou activer la stratégie IPSec intégrée
- Utiliser un serveur LDAP pour vérifier les certificats
- Configurer le Firebox de sorte qu'il envoie une notification lorsqu'un tunnel BOVPN est hors-service (tunnels BOVPN uniquement)
Pour modifier ces paramètres dans Policy Manager, sélectionnez VPN > Paramètres VPN. Pour modifier ces paramètres dans Fireware Web UI, sélectionnez VPN > Paramètres globaux. Pour plus d'informations sur ces paramètres, consultez À propos des Paramètres VPN globaux.
État du tunnel BOVPN
Vous pouvez consulter l'état actuel des tunnels BOVPN dans l'onglet Panneau avant de Firebox System Manager ou l'onglet État du Périphérique de WatchGuard System Manager lorsque vous êtes connecté à votre périphérique. Pour plus d'informations, consultez État du Tunnel VPN et des services d'abonnement.
Pour afficher l'état actuel des tunnels BOVPN, dans Fireware Web UI, sélectionnez État du Système > Statistiques VPN. Pour plus d'informations, consultez Statistiques de VPN.
Renouveler la clé des tunnels BOVPN
Si vous ne voulez pas attendre que vos clés pour le tunnel BOVPN expirent, vous pouvez utiliser Firebox System Manager pour générer immédiatement de nouvelles clés pour vos tunnels BOVPN. Pour plus d'informations, consultez Forcer le renouvellement d'une Clé de Tunnel BOVPN.
Voir Également
Configurer 1-to-1 NAT via un Tunnel Branch Office VPN
Branch Office VPN (Vidéo)