Configurer des adresses IP d'Interface Virtuelle BOVPN
Nous vous conseillons également de configurer des adresses IP virtuelles si l'un des endpoints se trouve derrière un périphérique NAT. Cette configuration s'assure que la route du tunnel utilise les adresses IP virtuelles au lieu des adresses IP de l'enpoint de passerelle.
Pour un BOVPN entre deux Firebox, ces adresses IP virtuelles définissent les endpoints du tunnel GRE qui encapsule le trafic passant par cette interface virtuelle BOVPN.
Pour une interface virtuelle BOVPN vers un autre Firebox, vous devez spécifier deux adresses IP d'interface virtuelle :
- Adresse IP locale — L'adresse IP à utiliser pour l'extrémité locale du tunnel. Elle doit correspondre à l'adresse IP de Pair configurée sur le Firebox à l'autre extrémité du tunnel.
- Adresse IP ou masque de réseau de pair — L'adresse IP à utiliser pour l'extrémité distante du tunnel. L'adresse IP du Pair doit correspondre à l'adresse IP Locale configurée sur le Firebox à l'autre extrémité du tunnel. S'il s'agit d'un masque de réseau, il doit correspondre au masque de réseau configuré sur l'endpoint tiers à l'autre extrémité du tunnel.
Vous devez configurer ces paramètres différemment pour un tunnel BOVPN entre un Firebox et un VPN pair tiers. Pour plus d'informations, consultez Adresses IP d'Interface Virtuelle pour un VPN vers un Endpoint Tiers.
Nous vous conseillons de sélectionner les adresses IP dans une plage d'adresses IP d'un réseau privé qui n'est utilisée par aucun réseau local ou distant connecté par un VPN. Ceci garanti que les adresses ne sont pas en conflit avec un autre périphérique. Dans Fireware v12.4 et versions ultérieures, vous pouvez spécifier des plages d'adresses IPv6 privées. Pour plus d'informations sur les plages d'adresses privées IPv4 et IPv6, consultez la RFC6890.
Dans Fireware v12.4 et versions ultérieures, vous devez spécifier une Famille d'Adresses dans la configuration de l'interface virtuelle BOVPN. Les options sont Adresses IPv4 ou Adresses IPv6. Lorsque vous configurez les adresses IP d'une interface virtuelle, vous devez spécifier des adresses IP qui correspondent au paramètre de Famille d'Adresses. Par exemple, si vous avez spécifié la Famille d'Adresses IPv6, vous devez spécifier des adresses d'interface virtuelle IPv6.
Vous pouvez utiliser la même adresse IP d'interface virtuelle locale pour plusieurs interfaces virtuelles BOVPN. Cela peut être nécessaire, par exemple, sur le hub d'une configuration VPN de type hub/spoke qui utilise le routage dynamique.
Si vous activez une interface virtuelle BOVPN pour un FireCluster, assurez-vous que l'adresse IP de l'interface virtuelle n'est pas en conflit avec les adresses IP d'interface du cluster ou les adresses IP de gestion du cluster.
- Ajouter ou modifier une interface virtuelle BOVPN. Pour plus d'informations, consultez Configurer une Interface Virtuelle BOVPN.
- Sélectionnez l'onglet Routes VPN.
- Dans la section Interface, cochez la case Attribuer des adresses IP d'interface virtuelle.
- Dans la zone de texte Adresse IP Locale, saisissez l'adresse IP à utiliser pour l'extrémité locale du tunnel.
Cette adresse doit correspondre à l'adresse IP du pair configurée pour cette interface virtuelle BOVPN sur le Firebox pair. - Dans la zone de texte Adresse IP du pair, saisissez l'adresse IP à utiliser pour l'extrémité distante du tunnel.
Cette adresse doit correspondre à l'adresse IP locale configurée pour cette interface virtuelle BOVPN sur le Firebox pair.
- Ajouter ou modifier une interface virtuelle BOVPN. Pour plus d'informations, consultez Configurer une Interface Virtuelle BOVPN.
- Sélectionnez l'onglet Routes VPN.
- Dans la section Interface, cochez la case Attribuer des adresses IP d'interface virtuelle.
- Dans la zone de texte Adresse IP Locale, saisissez l'adresse IP à utiliser pour l'extrémité locale du tunnel.
Cette adresse doit correspondre à l'adresse IP du pair configurée pour cette interface virtuelle BOVPN sur le Firebox pair. - Dans la zone de texte Adresse IP du pair, saisissez l'adresse IP à utiliser pour l'extrémité distante du tunnel.
Cette adresse doit correspondre à l'adresse IP locale configurée pour cette interface virtuelle BOVPN sur le Firebox pair.
Lorsque vous configurez le routage dynamique d'une interface virtuelle BOVPN, utilisez les adresses IP de l'interface virtuelle plutôt que le nom du périphérique.