Interface Virtuelle BOVPN de Routage Statique vers Amazon Web Services (AWS)

Vous pouvez configurer une connexion VPN entre votre Firebox et Amazon Web Services (AWS). Par exemple, vous pouvez configurer un VPN afin que les hôtes de votre réseau local puissent se connecter en toute sécurité aux ressources de votre Virtual Private Cloud (VPC) Amazon.

Pour les connexions VPN à AWS, nous vous recommandons de configurer une interface virtuelle BOVPN sur le Firebox au lieu d'un BOVPN. Vous pouvez utiliser un routage statique ou dynamique.

Dans cet exemple, nous montrons une configuration VPN avec :

  • Routage Statique
  • Une interface physique externe de Firebox
  • Une interface virtuelle BOVPN Firebox avec deux endpoints de passerelle
  • Une passerelle AWS avec deux adresses IP pour le basculement

Configuration AWS

Une configuration VPN AWS comprend une passerelle privée virtuelle avec deux adresses IP externes pour la redondance. AWS détermine automatiquement quelle adresse IP est l'adresse IP principale.

Le basculement entre les adresses IP externes est activé par défaut. Si l'adresse IP externe AWS principale n'est pas disponible, le trafic VPN bascule automatiquement sur l'autre adresse IP AWS externe.

Pour des instructions détaillées sur la configuration des paramètres VPN AWS, consultez le Guide de l'Utilisateur du Virtual Private Cloud d'Amazon.

Avant de Configurer votre Firebox

Avant de configurer le Firebox, téléchargez le fichier de configuration depuis votre compte AWS :

  1. Connectez-vous à la Console de Gestion AWS à l'adresse https://aws.amazon.com/console.
  2. Cliquez pour développer Tous les Services.
  3. Dans la section Réseau et Diffusion de Contenu, cliquez sur VPC.
  4. Dans le menu de navigation, dans la section Réseau Privé Virtuel, cliquez sur Connexions VPN Site à Site.
  5. Cliquez sur le nom de la connexion.
  6. Cliquez sur Télécharger la Configuration.
  7. Dans la liste déroulante Fournisseur, sélectionnez WatchGuard, Inc.
  8. Dans la liste déroulante Logiciel, sélectionnez Fireware OS 11.12.2 +.
  9. Cliquez sur Télécharger.
    Un fichier .txt est téléchargé sur votre ordinateur.
  10. Ouvrez le fichier .txt dans un éditeur de texte.

Le fichier de configuration .txt contient les clés pré-partagées, des adresses IP de passerelle pour Tunnel 1 et Tunnel 2 AWS et des routes vers le réseau approuvé (privé) de votre VPC AWS.

Vous pouvez également trouver les adresses IP dans votre configuration AWS :

  • Pour les adresses IP de passerelle, sélectionnez Réseau privé virtuel > Connexions VPN site à site> [nom].
  • Pour les routes, sélectionnez Virtual Private Cloud > Sous-réseaux ou Virtual Private Cloud > Tables de Routage.

Pour cet exemple, la configuration AWS utilise les adresses IP suivantes :

  • Adresse de la Passerelle Client203.0.113.2 (interface externe sur le Firebox )
  • Connexions VPN :
    • Tunnel 1 — 198.51.100.2 (première adresse IP de la passerelle virtuelle privée AWS)
    • Tunnel 2192.0.2.2 (seconde adresse IP de la passerelle virtuelle privée AWS)
  • Route statique10.0.1.0/24 (réseau approuvé du Firebox)

Configurer le Firebox

Pour cet exemple, le Firebox possède une interface externe et un réseau approuvé :

Interface Type Nom Adresse IP
0 Externe Externe 203.0.113.2/24
1 Approuvé Approuvé 10.0.1.1/24

Ajouter une Interface Virtuelle BOVPN

Pour configurer une passerelle redondante qui utilise les deux adresses IP externes d'AWS, vous devez configurer une interface virtuelles BOVPN qui comprend deux endpoints de passerelle. Prenez soin de spécifier des clés pré-partagées différentes pour chaque endpoint de passerelle sur votre Firebox.

  1. Sélectionnez VPN > Interfaces Virtuelles BOVPN.
  2. Cliquez sur Ajouter.
  3. Dans la zone de texte Nom de l'interface, saisissez un nom qui décrit cette interface virtuelle. Dans notre exemple, nous utilisons toAWS.
  4. Dans la liste déroulante Type d'Endpoint Distant, sélectionnez VPN en Nuage ou Passerelle Tierce.
  5. Dans la liste déroulante Famille d'Adresses de Passerelle, sélectionnez Adresses IPv4. AWS ne prend pas en charge l'IPv6 pour les tunnels VPN.
  6. Pour la méthode d'informations d'identification, sélectionnez Utiliser une Clé Pré-partagée. Ne cochez pas la case de clé pré-partagée pour l'instant. Plus tard, au cours de la configuration, vous spécifierez une clé pré-partagée différente pour chaque passerelle.

Screen shot of the Gateway Settings

Ajouter les Endpoints de Passerelle

Pour ajouter le premier endpoint de passerelle :

  1. Dans la section Endpoints de Passerelle, cliquez sur Ajouter.
    La boîte de dialogue Paramètres des Endpoints de Passerelle apparaît.
  2. Dans la liste déroulante Physique, sélectionnez Externe.
  3. Dans la liste déroulante Adresse IP de l'Interface, sélectionnez Adresse d'Interface Principale IPv4.
  4. Sélectionnez Par adresse IP.
  5. Dans la zone de texte adjacente, saisissez l'adresse IP de l'interface externe du Firebox. Dans notre exemple, nous utilisons 203.0.113.2.

Screen shot of the Local Gateway settings

  1. Sélectionnez l'onglet Passerelle Distante.
  2. Sélectionnez Adresse IP statique.
  3. Dans la zone de texte adjacente, saisissez la première adresse IP de la passerelle privée virtuelle AWS. Dans notre exemple, nous utilisons 198.51.100.2.
  4. Sélectionnez Par adresse IP.
  5. Dans la zone de texte adjacente, saisissez la première adresse IP de la passerelle privée virtuelle AWS. Dans notre exemple, nous utilisons 198.51.100.2.

Screen shot of the Remote Gateway settings

  1. Sur l'onglet Avancé, sélectionnez Spécifier une clé pré-partagée différente pour chaque endpoint de passerelle.
  2. Collez la clé du fichier .txt de configuration AWS. Ce fichier comprend deux clés pré-partagées, une pour chaque endpoint de passerelle.

Screen shot of the Advanced tab

  1. Cliquez sur OK.
  1. Dans la section Endpoints de Passerelle, cliquez sur Ajouter.
    La boîte de dialogue Paramètres des Endpoints de Passerelle apparaît.
  2. Dans la liste déroulante Physique, sélectionnez Externe.
  3. Dans la liste déroulante Adresse IP de l'Interface, sélectionnez Adresse d'Interface Principale IPv4.
  4. Sélectionnez Par adresse IP.
  5. Dans la zone de texte adjacente, saisissez l'adresse IP de l'interface externe du Firebox. Dans notre exemple, nous utilisons 203.0.113.2.
  6. Sélectionnez l'onglet Passerelle Distante.
  7. Sélectionnez Adresse IP statique.
  8. Dans la zone de texte adjacente, saisissez la première adresse IP de la passerelle privée virtuelle AWS. Dans notre exemple, nous utilisons 192.0.2.2.
  9. Sélectionnez Par adresse IP.
  10. Dans la zone de texte adjacente, saisissez la première adresse IP de la passerelle privée virtuelle AWS. Dans notre exemple, nous utilisons 192.0.2.2.
  11. Sur l'onglet Avancé, sélectionnez Spécifier une clé pré-partagée différente pour chaque endpoint de passerelle.
  12. Collez l'autre clé du fichier .txt de configuration AWS.
  13. Cliquez sur OK.

Capture d'écran de l'onglet des Paramètres de Passerelle de l'interface virtuelle BOVPN

Configurer les Routes VPN

Puis, ajoutez une route vers le réseau approuvé (privé) de votre VPC AWS.

  1. Sur l'onglet Routes VPN, cliquez sur Ajouter.
    La boîte de dialogue Paramètres de route VPN s'affiche.
  2. Dans la liste déroulante Choisir le Type, sélectionnez IPv4 Réseau.
  3. Dans le champ Acheminer vers, entrez 10.0.100.0/24. Astuce !
  4. Cliquez sur OK.

Capture d'écran des routes VIF BOVPN

Configurer les Paramètres de Phase 1 et de Phase 2

Enfin, vous devez configurer les paramètres de Phase 1 et Phase 2.

Durant les négociations VPN, AWS identifie les paramètres d'authentification et l'algorithme de chiffrement du Firebox. Si AWS prend en charge ces paramètres, AWS utilise automatiquement les mêmes paramètres. AWS prend en charge des propositions spécifiques. Vous ne pouvez pas modifier la configuration AWS pour spécifier différentes propositions.

Capture d'écran des paramètres de Phase 1 pour une interface virtuelle BOVPN

  1. Sélectionnez Activer Perfect Forward Secrecy.
  2. Dans la liste déroulante, sélectionnez Groupe Diffie-Hellman 14.
    Les groupes 1, 2, 5, 15, 19 et 20 sont également pris en charge.
  3. Dans la liste déroulante Propositions IPSec, sélectionnez ESP-AES256-SHA256.
    SHA1 et AES128 sont également pris en charge.

Capture d'écran des Paramètres de Phase 2

Voir Également

Interface Virtuelle BOVPN de Routage Dynamique vers Amazon Web Services (AWS)