Interface Virtuelle BOVPN avec Routage Dynamique

Vous pouvez utiliser une interface virtuelle BOVPN pour permettre au Firebox d'utiliser le routage dynamique pour trouver les routes vers les réseaux privés d'un Firebox pair via le tunnel VPN, ou sur un endpoint tiers via le tunnel VPN. Lorsque vous utilisez le routage dynamique avec une interface virtuelle BOVPN, le périphérique à chaque extrémité du tunnel apprend automatiquement les routes vers les réseaux annoncés par l'autre passerelle.

Exemple

Cet exemple montre le routage dynamique entre un Firebox au Site A et un Firebox au Site B. Les deux sites utilisent OSPF pour mettre à jour les routes via l'interface virtuelle BOVPN de manière dynamique.

Pour des exemples qui montrent le routage dynamique BGP entre un Firebox et un endpoint tiers en nuage, voir :

Le BGP est pris en charge pour les connexions d'interface virtuelle BOVPN à Microsoft Azure et Amazon AWS. OSPF n'est pas pris en charge.

Firebox du Site A

Pour cet exemple, le Firebox du Site A est équipé de deux interfaces externes, d'un réseau approuvé et de quatre réseaux facultatifs.

Interface Type Nom Adresse IP
0 Externe Externe 203.0.113.2/24
1 Approuvé Approuvé 10.0.1.1/24
2 Facultatif Facultatif-1 10.0.2.1/24
3 Facultatif Facultatif-2 10.0.3.1/24
4 Facultatif Facultatif-3 10.0.4.1/24
5 Facultatif Facultatif-4 10.0.5.1/24
6 Externe Externe-2 190.0.2.2/24

L'administrateur du Site A veut propager les routes des réseaux Approuvé, Facultatif-1 et Facultatif-2 via le tunnel BOVPN, sans toutefois propager les routes des réseaux Facultatif-3 et Facultatif-4.

Firebox du Site B

Pour cet exemple, le Firebox du Site B est équipé d'une interface externe, d'un réseau approuvé et de trois réseaux facultatifs.

Interface Type Nom Adresse IP
0 Externe Externe 198.51.100.2/24
1 Approuvé Approuvé 10.50.1.1/24
2 Facultatif Facultatif-1 10.50.2.1/24
3 Facultatif Facultatif-2 10.50.3.1/24
4 Facultatif Facultatif-3 10.50.4.1/24

L'administrateur du Site B veut propager les routes des réseaux Approuvé et Facultatif-1 via le tunnel BOVPN, sans toutefois propager les routes des réseaux Facultatif-2 et Facultatif-3.

Configuration de l'Interface Virtuelle BOVPN

L'interface virtuelle BOVPN de chaque Firebox doit être configurée avec les mêmes paramètres. Pour cet exemple, nous supposons que le Site A et le Site B acceptent d'utiliser une clé pré-partagée et d'utiliser ces adresses IP pour l'interface virtuelle BOVPN :

  • Adresse IP locale de l'interface virtuelle BOVPN du Site A — 10.1.1.1
  • Adresse IP locale de l'interface virtuelle BOVPN du Site B — 10.2.2.2

Tous les autres paramètres de l'interface virtuelle BOVPN gardent les valeurs par défaut.

Configuration de l'Interface Virtuelle BOVPN du Site A

Sur l'onglet Paramètres de la Passerelle de la configuration de l'interface virtuelle BOVPN, utilisez ces paramètres :

  • Dans la liste déroulante Type d'Endpoint Distant, sélectionnez Firebox. Cette option utilise le protocole GRE pour encapsuler le tunnel IPSec.
  • La Méthode d'Informations d'Identification est la clé pré-partagée définie par les deux sites.
  • La liste Endpoints de Passerelle comprend deux paires d'endpoints de passerelle, une pour chaque interface externe du Site A.
    • Première paire d'endpoint de passerelle :
      Passerelle locale : 203.0.113.2 (adresse IP de la première interface externe du Firebox du Site A)
      Passerelle Distante — 198.51.100.2 (l'adresse IP de l'interface externe du Firebox du Site B)
    • Seconde paire d'endpoint de passerelle :
      Passerelle Locale — 190.0.2.2 Local Gateway (l'adresse IP de la seconde interface externe du Firebox du Site A)
      Passerelle Distante — 198.51.100.2 (l'adresse IP de l'interface externe du Firebox du Site B)

Screen shot of the BOVPN Virtual Interfaces page, Gateway Settings tab
Configuration de la passerelle du Site A dans Fireware Web UI.

Screen shot of the New BOVPN Virtual Interface dialog box, Gateway Settings tab
Configuration de la passerelle du Site A dans Policy Manager.

Sur l'onglet Routes VPN de la configuration de l'interface virtuelle BOVPN, spécifiez ces paramètres :

  • Attribuer des adresses IP virtuelles — Activé
  • Adresse IP locale — 10.1.1.1
  • Adresse IP paire — 10.2.2.2

Screen shot of the BOVPN Virtual Interfaces page, VPN Routes tab
Route du Site A dans Fireware Web UI.

Screen shot of the New BOVPN Virtual Interface dialog box, VPN Routes tab
Routes VPN du Site A dans Policy Manager.

Configuration de l'Interface Virtuelle BOVPN du Site B

La configuration du Site B est exactement la même que celle du Site A, mais les adresses IP des passerelles locales et distantes sont inversées, de même que les adresses IP locales et distantes.

Sur l'onglet Paramètres de la Passerelle de la configuration de l'interface virtuelle BOVPN, utilisez ces paramètres :

  • Dans la liste déroulante Type d'Endpoint Distant, sélectionnez Firebox. Cette option utilise le protocole GRE pour encapsuler le tunnel IPSec.
  • La Méthode d'Informations d'Identification utilise la clé pré-partagée définie par les deux sites.
  • La liste Endpoints de Passerelle comprend deux paires d'endpoints de passerelle, une pour chaque interface externe du Site A.
    • Première paire d'endpoint de passerelle :
      Passerelle Locale — 198.51.100.2 (l'adresse IP de l'interface externe du Firebox du Site B)
      Passerelle distant : 203.0.113.2 (adresse IP de la première interface externe du Firebox du Site A)
    • Seconde paire d'endpoint de passerelle :
      Passerelle Locale — 198.51.100.2 (l'adresse IP de l'interface externe du Firebox du Site B)
      Passerelle Distante — 190.0.2.2 (l'adresse IP de la seconde interface externe du Firebox du Site A)

Screen shot of the BOVPN Virtual Interfaces page, Gateway Settings tab
Configuration de la passerelle du Site B dans Fireware Web UI.

Screen shot of the New BOVPN Interface dialog box, Gateway Settings tab
Configuration de la passerelle du Site B dans Policy Manager.

Sur l'onglet Routes VPN de la configuration de l'interface virtuelle BOVPN, spécifiez ces paramètres :

  • Attribuer des adresses IP virtuelles — Activé
  • Adresse IP locale — 10.2.2.2
  • Adresse IP du pair — 10.1.1.1

Screen shot of the BOVPN Virtual Interface page, VPN Routes tab
Routes VPN du Site B dans Fireware Web UI.

Screen shot of the New BOVPN Virtual Interface, VPN Routes tab
Routes VPN du Site B dans Policy Manager.

Configuration du routage dynamique

Après avoir défini les adresses IP de l'interface virtuelle, vous pouvez les utiliser dans la configuration du routage dynamique.

Dans la configuration OSPF :

  • Utilisez l'Adresse IP du Pair dans la configuration d'interface virtuelle BOVPN pour vous référer au réseau pair à pair.
  • Utilisez le Nom de Périphérique (bvpn1) dans la configuration de l'interface virtuelle BOVPN pour vous référer à l'interface BOVPN.

Dans cet exemple de configuration, le Site A propage les routes des réseaux locaux Approuvé, Facultatif-1 et Facultatif-2. Le Site B propage les routes des réseaux locaux Approuvé et Facultatif-1.

Cet exemple illustre deux options pour configurer OSPF sur chaque Firebox.

Une fois les fichiers de configuration enregistrés dans les Firbox des Sites A et B, le tunnel BOVPN est actif et les routes dynamiques s'y propagent via le tunnel.

Consulter les Routes de Réseau Dynamiques

Une fois le tunnel BOVPN établi, chaque Firebox utilise OSPF pour trouver les routes vers les réseaux connectés propagés par le périphérique pair.

Vous pouvez consulter les routes dans WatchGuard System Manager et Firebox System Manager lorsque vous développez l'interface virtuelle BOVPN de chaque Firebox.

Pour le Firebox du Site A, Firebox System Manager affiche deux entrées dans la section Route vers. Elles correspondent aux deux réseaux privés qui ont été spécifiés dans la configuration OSPF du Site B.

10.50.1.0/24 metric 20
10.50.2.0/24 metric 20

Screen shot of Firebox System Manager front panel tab Branch Office VPN tunnels at Site A

Pour le Firebox du Site B, Firebox System Manager affiche trois entrées dans la section Route vers. Elles correspondent aux trois réseaux privés qui ont été spécifiés dans la configuration OSPF du Site A.

10.0.1.0/24 metric 20
10.0.2.0/24 metric 20
10.0.3.0/24 metric 20

Screen shot of Firebox System Manager front panel tab Branch Office VPN tunnels at Site B

Dans l'onglet Rapport d'État de Firebox System Manager, les routes de réseau dynamiques s'affichent dans la section Routes IPv4. Pour obtenir plus d'informations sur la table de routage, consultez Lire les Tables de Routage de Firebox.

Les routes de réseau apprises s'affichent dans la table de routage de chaque Firebox dans Fireware Web UI. Pour consulter les routes, sélectionnez État du Système > Routes. Pour plus d'informations sur la table de routage dans Fireware Web UI, consultez Routes.

Le nom de l'interface pour les routes qui utilisent l'interface virtuelle BOVPN correspond au Nom de Périphérique attribué automatiquement lorsque vous créez l'interface virtuelle BOVPN. bvpn1 est le nom de la première interface virtuelle BOVPN.

Dans cet exemple, les routes qui utilisent l'interface bvpn1 du Site A sont :

Destination Interface Gateway Description
10.2.2.2 bvpn1 0.0.0.0 L'adresse IP de l'interface virtuelle BOVPN du pair
10.50.1.0 bvpn1 10.2.2.2 Route apprise du Site B
10.50.2.0 bvpn1 10.2.2.2 Route apprise du Site B

Dans cet exemple, les routes qui utilisent l'interface bvpn1 du Site B sont :

Destination Interface Gateway Description
10.1.1.1 bvpn1 0.0.0.0 L'adresse IP de l'interface virtuelle BOVPN du pair
10.0.1.0 bvpn1 10.1.1.1 Route apprise du Site A
10.0.2.0 bvpn1 10.1.1.1 Route apprise du Site A
10.0.3.0 bvpn1 10.1.1.1 Route apprise du Site A

Voir Également

Configurer une Interface Virtuelle BOVPN

Configurer un Routage IPv4 avec OSPF

Exemples d'Interfaces Virtuelles BOVPN

Interface Virtuelle BOVPN pour Routage Dynamique vers Microsoft Azure

Interface Virtuelle BOVPN de Routage Dynamique vers Amazon Web Services (AWS)