Définir des endpoints de passerelle pour une passerelle BOVPN

Les endpoints de passerelle sont les passerelles locales et distantes auxquelles se connecte le réseau BOVPN. La configuration des endpoints de passerelle indique à votre Firebox comment identifier et communiquer avec le périphérique d'endpoint distant lorsqu'il négocie le BOVPN. Elle indique également au périphérique comment s'identifier auprès du endpoint distant lorsqu'il négocie le réseau BOVPN. Vous devez configurer au moins une paire d'endpoints de passerelle lorsque vous ajoutez une passerelle BOVPN.

Toute interface externe peut être un endpoint de passerelle. Si l'endpoint local ou distant possède plusieurs interfaces externes, vous pouvez configurer plusieurs paires d'endpoints de passerelle. Ceci permet au périphérique de basculer vers une connexion secondaire lorsque la connexion principale n'est pas disponible. Si vous configurez plusieurs paires d'endpoints de passerelle, assurez-vous que les endpoints de passerelle sont répertoriés dans le même ordre sur les deux périphériques d'endpoint. Pour plus d'informations, consultez Configurer le Basculement VPN.

Dans Fireware v12.4 et versions ultérieures, vous pouvez configurer un BOVPN manuel entre deux passerelles IPv6. Pour plus d'informations, consultez Configurer des Passerelles BOVPN Manuelles.

Dans Fireware v12.2 et les versions ultérieures, vous pouvez indiquer une adresse IP d'interface secondaire comme endpoint de passerelle. Par défaut, l'adresse IP principale configurée sur l'interface externe que vous indiquez est utilisée.

Dans Fireware v12.1.x et les versions antérieures, n'utilisez pas d'adresse IP d'interface secondaire comme endpoint de passerelle. Si vous configurez un endpoint de passerelle avec une adresse IP d'une interface secondaire, la connexion BOVPN peut échouer si le Firebox local initie la connexion BOVPN. La raison en est que le Firebox initie la connexion avec l'adresse IP de l'interface primaire. Si l'endpoint distant initie la connexion BOVPN et spécifie l'adresse IP de l'interface secondaire, la connexion réussit.

Passerelle locale

Dans la section Passerelle locale, configurez l'interface externe et l'adresse IP à laquelle se connecte le réseau BOVPN sur votre Firebox. Vous configurez également l'ID de passerelle.

Pour l'ID de passerelle, si vous avez une adresse IP statique, vous pouvez sélectionner Par Adresse IP. Si vous avez un domaine correspondant à l'adresse IP à laquelle se connecte le réseau BOVPN sur votre Firebox, sélectionnez Par informations de Domaine.

Pour configurer la passerelle locale à partir de Fireware Web UI :

Créez ou modifiez une passerelle Branch Office VPN. Pour plus d'informations, consultez Configurer des Passerelles BOVPN Manuelles.
Sur la page Passerelle, dans la section Endpoints de Passerelle, cliquez sur Ajouter.
La boîte de dialogue Paramètres des Endpoints de la Nouvelle Passerelle apparaît.

Capture d'écran de la boîte de dialogue Paramètres des endpoints de passerelle, onglet Passerelle locale

Dans la liste déroulante Interface externe, sélectionnez l'interface ayant l'IP externe (publique) du Firebox du site A. Si vous avez configuré le client sans fil comme interface externe, sélectionnez l'interface WG-Wireless-Client.
(Fireware v12.2 et versions ultérieures) Dans la liste déroulante Adresse IP de l'Interface, sélectionnez Adresse IP de l'Interface Principale ou sélectionnez une adresse IP secondaire qui est déjà configurée sur l'interface externe choisie. Dans Fireware v12.4 et versions ultérieures, les options d'interface principale sont Adresse IPv4 de l'Interface Principale ou Adresse IPv6 de l'Interface Principale. Astuce !

Capture d'écran de la configuration de l'adresse IP secondaire

Sélectionnez une option et indiquez l'ID de la passerelle :
- Par Adresse IP — Saisissez l'adresse IP principale de l'interface du Firebox.
  Dans Fireware v12.2 et versions ultérieures, si vous avez choisi une adresse IP secondaire dans la liste déroulante Adresse IP d'Interface, cette adresse IP apparait automatiquement dans la zone de texte Par Adresse IP.
  Dans Fireware v12.4 et versions ultérieures, vous devez spécifier un type d'adresse IP qui correspond au paramètre Famille d'Adresses que vous avez configuré plus tôt. Par exemple, si vous avez spécifié Adresses IPv6, vous devez spécifier une adresse IPv6 dans la zone de texte Par Adresse IP.
  Dans Fireware v12.1.x et les versions antérieures, n'utilisez pas d'adresse IP d'interface secondaire comme ID de passerelle.
- Par Nom de Domaine — Entrez votre nom de domaine. Vous devez spécifier 63 caractères au maximum.
- Par ID d'utilisateur sur le domaine — Entrez le nom d'utilisateur et le domaine au format NomUtilisateur@NomDomaine. Vous devez spécifier 63 caractères au maximum.
- Par nom x500 — Cette option est automatiquement sélectionnée si vous avez spécifié un certificat comme méthode d'identification. Dans Fireware v12.5.2 ou les versions ultérieures, vous pouvez spécifier un certificat avec un nom x500 d'une longueur maximale de 255 caractères. Dans Fireware v12.5.1 ou les versions antérieures, vous devez spécifier 63 caractères au maximum.

Pour configurer la passerelle locale à partir de Policy Manager :

Créez ou modifiez une passerelle Branch Office VPN. Pour plus d'informations, consultez Configurer des Passerelles BOVPN Manuelles.
Sur la page Ajouter une passerelle, dans la section Endpoints de Passerelle, cliquez sur Ajouter.
La boîte de dialogue Paramètres des Endpoints de la Nouvelle Passerelle apparaît.

Capture d'écran de la boîte de dialogue Paramètres d'Endpoints de la Nouvelle Passerelle

Dans la liste déroulante Interface externe, sélectionnez l'interface ayant l'IP externe (publique) du Firebox du site A. Si vous avez configuré le client sans fil comme interface externe, sélectionnez l'interface WG-Wireless-Client.
(Fireware v12.2 et versions ultérieures) Pour indiquer une adresse IP, dans la liste déroulante Adresse IP de l'Interface, choisissez Adresse IP de l'Interface Principale ou choisissez une adresse IP secondaire qui est déjà configurée sur l'interface externe choisie. Astuce !

Capture d'écran de la configuration de l'adresse IP secondaire

Sélectionnez une option et indiquez l'ID de la passerelle :
- Par Adresse IP — Saisissez ou sélectionnez l'adresse IP principale de l'interface du Firebox.
  Dans Fireware v12.2 et versions ultérieures, si vous avez choisi une adresse IP secondaire dans la liste déroulante Adresse IP d'Interface, cette adresse IP apparait automatiquement dans la zone de texte Par Adresse IP.
  Dans Fireware v12.4 et versions ultérieures, vous devez spécifier un type d'adresse IP qui correspond au paramètre Famille d'Adresses que vous avez configuré plus tôt. Par exemple, si vous avez spécifié Adresses IPv6, vous devez spécifier une adresse IPv6 dans la zone de texte Par Adresse IP.
  Dans Fireware v12.1.x et les versions antérieures, n'utilisez pas d'adresse IP d'interface secondaire comme ID de passerelle.
- Par informations de Domaine — Cliquez sur Configurer et sélectionnez la méthode de configuration de domaine. Sélectionnez Par nom de domaine ou Par ID d'utilisateur sur le domaine.
  - Par Nom de Domaine — Entrez votre nom de domaine et cliquez sur OK. Dans Fireware v12.5.2 et les versions ultérieures, vous pouvez spécifier jusqu'à 255 caractères. Dans Fireware v12.5.1 ou les versions antérieures, vous devez spécifier 63 caractères au maximum.
  - Par ID d'Utilisateur sur le Domaine — Entrez le nom d'utilisateur et le domaine au format NomUtilisateur@NomDomaine et cliquez sur OK. Dans Fireware v12.5.2 et les versions ultérieures, vous pouvez spécifier jusqu'à 255 caractères. Dans Fireware v12.5.1 ou les versions antérieures, vous devez spécifier 63 caractères au maximum.

Passerelle Distante

Vous pouvez configurer l'adresse IP et l'ID de passerelle du périphérique de terminaison distant auquel se connecte le réseau BOVPN. L'adresse IP de la passerelle peut être une adresse IP statique ou dynamique. L'ID de la passerelle peut être Par Nom de Domaine, Par ID d'Utilisateur sur le Domaine ou Par Nom x500. L'administrateur du périphérique de passerelle distante sélectionne le type d'ID de passerelle à utiliser.

Si l'endpoint VPN distant obtient une adresse IP externe par DHCP ou PPPoE, définissez le type d'ID de la passerelle distante comme Nom de Domaine. Attribuez au nom du pair le nom de domaine complet du endpoint VPN distant. Le Firebox utilise l'adresse IP et le nom de domaine pour rechercher l'endpoint VPN. Vérifiez que le serveur DNS utilisé par le périphérique peut identifier le nom.

Pour configurer l'enpoint de passerelle distante, à partir de Fireware Web UI :

Dans la boîte de dialogue Paramètres d'Endpoint de Passerelle, sélectionnez l'onglet Passerelle Distante.

Capture d'écran de la boîte de dialogue Paramètres des Endpoints de Passerelle, onglet Passerelle Distante

Sélectionnez le type d'adresse IP de la passerelle distante :
- Adresse IP statique — Sélectionnez cette option si le périphérique distant a une adresse IP statique. Saisissez ou sélectionnez l'adresse IP.
  Dans Fireware v12.4 et versions ultérieures, vous devez spécifier un type d'adresse IP qui correspond au paramètre Famille d'Adresses que vous avez configuré plus tôt. Par exemple, si vous avez spécifié Adresses IPv6, vous devez spécifier une adresse IPv6 dans la zone de texte Adresse IP statique.
- Adresse IP dynamique — Sélectionnez cette option si le périphérique distant a une adresse IP dynamique.
Sélectionnez une option et indiquez l'ID de la passerelle distante :
- Par adresse IP — Entrez l'adresse IP.
  Dans Fireware v12.4 et versions ultérieures, vous devez spécifier un type d'adresse IP qui correspond au paramètre Famille d'Adresses que vous avez configuré plus tôt. Par exemple, si vous avez spécifié Adresses IPv6, vous devez spécifier une adresse IPv6 dans la zone de texte Par Adresse IP.
- Par Nom de Domaine — Entrez le nom de domaine. Dans Fireware v12.5.2 et les versions ultérieures, vous pouvez spécifier jusqu'à 255 caractères. Dans Fireware v12.5.1 ou les versions antérieures, vous devez spécifier 63 caractères au maximum.
- Par ID d'Utilisateur sur le Domaine — Entrez l'ID d'utilisateur et le domaine. Dans Fireware v12.5.2 et les versions ultérieures, vous pouvez spécifier jusqu'à 255 caractères. Dans Fireware v12.5.1 ou les versions antérieures, vous devez spécifier 63 caractères au maximum.
- Par Nom x500 — Entrez le nom x500. Dans Fireware v12.5.2 et les versions ultérieures, vous pouvez spécifier jusqu'à 255 caractères. Dans Fireware v12.5.1 ou les versions antérieures, vous devez spécifier 63 caractères au maximum.
Pour un endpoint de passerelle IPv4, si le nom de domaine du endpoint distant peut être résolu, cochez la case Tenter de résoudre le domaine.
Quand cette option est sélectionnée, le périphérique procède automatiquement à une requête DNS pour trouver l'adresse IP associée au nom de domaine de l'endpoint distant. Les connexions ne se font pas tant que le nom de domaine n'est pas résolu. Cochez cette case pour les configurations qui dépendent d'un serveur DNS dynamique afin de maintenir un mappage entre une adresse IP dynamique et un nom de domaine.
Cliquez sur OK.
La paire de passerelles que vous avez définie apparaît dans la liste des endpoints de passerelle.
Pour configurer les paramètres de la Phase 1 pour cette passerelle, suivez les étapes dans Configurer les Paramètres IPSec de Phase 1.

Pour configurer l'enpoint de passerelle distante à partir de Policy Manager :

Sélectionnez le type d'adresse IP de la passerelle distante :
- Adresse IP statique — Sélectionnez cette option si le périphérique distant a une adresse IP statique. Saisissez ou sélectionnez l'adresse IP.
  Dans Fireware v12.4 et versions ultérieures, vous devez spécifier un type d'adresse IP qui correspond au paramètre Famille d'Adresses que vous avez configuré plus tôt. Par exemple, si vous avez spécifié Adresses IPv6, vous devez spécifier une adresse IPv6 dans la zone de texte Adresse IP statique.
- Adresse IP dynamique — Sélectionnez cette option si le périphérique distant a une adresse IP dynamique.
Sélectionnez une option et indiquez l'ID de la passerelle :
- Par adresse IP — Tapez l'adresse IP ou sélectionnez-la dans la liste déroulante.
  Dans Fireware v12.4 et versions ultérieures, vous devez spécifier un type d'adresse IP qui correspond au paramètre Famille d'Adresses que vous avez configuré plus tôt. Par exemple, si vous avez spécifié Adresses IPv6, vous devez spécifier une adresse IPv6 dans la zone de texte Par Adresse IP.
- Par informations de domaine
  1. Cliquez sur Configurer et sélectionnez la méthode de configuration du domaine : Nom de Domaine, ID Utilisateur @ Domaine ou Nom X500.
  2. Tapez le nom, l'ID d'utilisateur et domaine ou le nom x500. Dans Fireware v12.5.2 et les versions ultérieures, vous pouvez spécifier jusqu'à 255 caractères. Dans Fireware v12.5.1 ou les versions antérieures, vous devez spécifier 63 caractères au maximum.
  3. Pour un enpoint de passerelle IPv4, si le nom de domaine de l'endpoint distant peut être résolu, cochez la case Tenter de résoudre.
    Quand cette option est sélectionnée, le périphérique procède automatiquement à une requête DNS pour trouver l'adresse IP associée au nom de domaine de l'endpoint distant. Les connexions ne se font pas tant que le nom de domaine n'est pas résolu. Cochez cette case pour les configurations qui dépendent d'un serveur DNS dynamique afin de maintenir un mappage entre une adresse IP dynamique et un nom de domaine.
  4. Cliquez sur OK.

Capture d'écran de la boîte de dialogue Configurer le domaine pour l'ID de passerelle

Cliquez sur OK pour fermer la boîte de dialogue Paramètres de Endpoints de la Nouvelle Passerelle.
La paire de passerelles que vous avez définie apparaît dans la liste des endpoints de passerelle.
Pour ne pas utiliser les valeurs par défaut des paramètres de Phase 1, suivez les étapes dans Configurer les Paramètres IPSec de Phase 1. Sinon, cliquez sur OK.

Paramètres Avancés

Vous pouvez configurer ces options dans l'onglet Paramètres avancés :

Certificat d'Autorité de Certification

(Fireware v12.6.2 ou les versions ultérieures) Cette option apparaît si vous sélectionnez un certificat pour l'authentification. Lorsque vous activez cette option, vous devez sélectionner un certificat d'Autorité de Certification racine ou intermédiaire dans la liste déroulante Certificat CA. Le Firebox utilise ce certificat d'Autorité de Certification pour vérifier le certificat reçu du pair VPN. Le certificat du pair VPN doit faire partie de la chaîne de certificats qui inclut le certificat d'Autorité de Certification racine ou intermédiaire spécifié. Si le certificat pair ne fait pas partie de la chaîne, le Firebox rejette les négociations de tunnel de Phase 1.

Screen shot of the CA Certificate setting in Fireware Web UI

Clé pré-partagée différente

Vous pouvez spécifier des clés pré-partagées différentes pour chaque endpoint de passerelle. Vous pouvez sélectionner cette option si vous configurez un VPN entre un Firebox et un endpoint tiers et que ce dernier requiert une clé pré-partagée différente pour chaque endpoint de passerelle.

(Fireware v12.5.4 ou les versions ultérieures) Sélectionnez Chaîne ou Hexadécimal. Le paramètre par défaut est Chaîne. Pour plus d'informations sur les clés hexadécimales, consultez Clés Prépartagées Hexadécimales.

Bit DF

Le bit Don't Fragment (DF) est un indicateur situé dans l'en-tête d'un paquet. Vous pouvez sélectionner Copier, Définir ou Effacer pour choisir si le Firebox utilise le paramètre de bit DF original dans l'en-tête du paquet :

Le paramètre Bit DF dans Fireware Web UI

Le paramètre Bit DF dans Policy Manager

Copier — Cette option applique le paramètre de bit DF de la structure d'origine au paquet chiffré IPSec.
Si une trame ne possède pas de bit DF défini, le Firebox ne définit pas les bits DF et fragmente le paquet si nécessaire. Si une trame est configurée de manière à ne pas être fragmentée, le Firebox encapsule entièrement la trame et définit les bits DF du paquet chiffré de manière identique à ceux de la trame d'origine.
Définir — Cette option dit au Firebox de ne pas fragmenter la structure, quel que soit le paramètre de bit d'origine.
Si un utilisateur doit établir des connexions IPSec à un Firebox derrière un autre Firebox, vous devez décocher cette case pour activer la fonction de transmission IPSec. Par exemple, des employés itinérants travaillant sur un site client équipé d'un Firebox peuvent se connecter à leur réseau à l'aide d'IPSec. Pour que votre Firebox local établisse correctement la connexion IPSec sortante, vous devez également ajouter une stratégie IPSec.
Effacer — Cette option divise la structure en éléments pouvant tenir dans un paquet IPSec avec en-tête ESP ou AH, quel que soit le paramètre de bit d'origine.

Dans Fireware v12.2 et les versions antérieures, vous ne pouvez configurer le réglage de bit DF que dans les paramètres d'interface externe.

Dans Fireware v12.2.1 et les versions ultérieures, vous pouvez configurer le paramètre de bit DF dans les paramètres d'endpoint de passerelle BOVPN. Ce paramètre prend effet immédiatement. Le paramètre de bit DF indiqué pour l'enpoint de passerelle est prioritaire sur le paramètre de bit DF indiqué pour l'interface externe.

Si vous n'indiquez pas de paramètre de bit DF pour un endpoint de passerelle, celui-ci utilise le paramètre de bit DF indiqué dans les paramètres d'interface externe. Pour de plus amples informations concernant le paramètre de bit DF dans les paramètres d'interface externe, consultez

PMTU

Les paramètres Path Maximum Transmission Unit (PMTU) contrôlent la durée pendant laquelle le périphérique Firebox diminue l'unité maximale de transmission (MTU) d'un tunnel VPN IPSec lorsqu'il reçoit une requête ICMP de fragmentation d'un paquet provenant d'un routeur dont le paramètre MTU est inférieur sur Internet.

Dans Fireware v12.2.1 et les versions ultérieures, vous pouvez configurer des paramètres PMTU dans les paramètres d'endpoint de passerelle BOVPN. Les paramètres PMTU indiqués pour l'enpoint de passerelle sont prioritaires sur les paramètres PMTU indiqués pour l'interface externe. Si vous n'indiquez pas de paramètres PMTU pour un endpoint de passerelle, celui-ci utilise les paramètres PMTU indiqués dans les paramètres d'interface externe.

Il est conseillé de conserver le paramètre par défaut. pour vous protéger si un routeur présente un paramètre MTU très faible sur Internet.

Le paramètre de bit PMTU dans Fireware Web UI

Le paramètre de bit PMTU dans Policy Manager

Voir Également

Configurer des Passerelles BOVPN Manuelles

Configurer des Tunnels BOVPN Manuels

© 2023 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et/ou dans d'autres pays. Toutes les autres marques appartiennent à leurs propriétaires respectifs.