Définir des Endpoints de Passerelle pour une Interface Virtuelle BOVPN

Les endpoints de passerelle sont les passerelles locales et distantes reliées par un BOVPN. La configuration des endpoints de passerelle permet à votre Firebox de spécifier comment identifier et communiquer avec le périphérique d'endpoint distant lorsqu'il négocie le BOVPN. Elle permet également au périphérique de spécifier comment s'identifier auprès du endpoint distant lorsqu'il négocie le BOVPN. Vous devez configurer au moins une paire d'endpoints de passerelle lorsque vous ajoutez une interface virtuelle BOVPN.

Vous pouvez configurer plusieurs endpoints de passerelle pour le basculement VPN. Pour plus d'informations, consultez Configurer le Basculement VPN.

Vous pouvez spécifier différentes clés pré-partagées pour chaque endpoint de passerelle d'une interface virtuelle. Pour un exemple d'une configuration avec différentes clé pré-partagées, consultez Interface Virtuelle BOVPN pour le Routage Statique vers Amazon Web Services (AWS).

Dans Fireware v12.2 et les versions ultérieures, vous pouvez indiquer une adresse IP d'interface secondaire comme endpoint de passerelle. Par défaut, l'adresse IP principale configurée sur l'interface externe que vous indiquez est utilisée.

Dans Fireware v12.1.x et les versions antérieures, n'utilisez pas d'adresse IP d'interface secondaire comme endpoint de passerelle. Si vous configurez un endpoint de passerelle avec une adresse IP d'une interface secondaire, la connexion BOVPN peut échouer si le Firebox local initie la connexion BOVPN. La raison en est que le Firebox initie la connexion avec l'adresse IP de l'interface primaire. Si l'endpoint distant initie la connexion BOVPN et spécifie l'adresse IP de l'interface secondaire, la connexion réussit.

Passerelle locale

Dans les paramètres Passerelle locale, configurez l'ID de la passerelle et l'interface à laquelle se connecte le réseau BOVPN sur votre Firebox. Vous pouvez configurer une interface virtuelle BOVPN pour utiliser n'importe quelle interface interne ou externe comme passerelle locale.

Pour l'ID de passerelle, si vous avez une adresse IP statique, vous pouvez sélectionner Par Adresse IP. Si vous avez un domaine correspondant à l'adresse IP à laquelle se connecte le réseau BOVPN sur votre Firebox, sélectionnez Par informations de Domaine.

Passerelle Distante

Vous pouvez configurer l'adresse IP et l'ID de passerelle du périphérique de terminaison distant auquel se connecte le réseau BOVPN. L'adresse IP de la passerelle peut être une adresse IP statique ou dynamique. L'ID de la passerelle peut être Par Nom de Domaine, Par ID d'Utilisateur sur le Domaine ou Par Nom x500. L'administrateur du périphérique de passerelle distante sélectionne le type d'ID de passerelle à utiliser.

Si l'endpoint VPN distant obtient une adresse IP externe par DHCP ou PPPoE, définissez le type d'ID de la passerelle distante comme Nom de Domaine. Attribuez au nom du pair le nom de domaine complet du endpoint VPN distant. Le Firebox utilise l'adresse IP et le nom de domaine pour rechercher l'endpoint VPN. Vérifiez que le serveur DNS utilisé par le périphérique peut identifier le nom.

Paramètres Avancés

Vous pouvez configurer ces options dans l'onglet Paramètres avancés :

Certificat d'Autorité de Certification

(Fireware v12.6.2 ou les versions ultérieures) Cette option apparaît si vous sélectionnez un certificat pour l'authentification. Lorsque vous activez cette option, vous devez sélectionner un certificat d'Autorité de Certification racine ou intermédiaire dans la liste déroulante Certificat CA. Le Firebox utilise ce certificat d'Autorité de Certification pour vérifier le certificat reçu du pair VPN. Le certificat du pair VPN doit faire partie de la chaîne de certificats qui inclut le certificat d'Autorité de Certification racine ou intermédiaire spécifié. Si le certificat pair ne fait pas partie de la chaîne, le Firebox rejette les négociations de tunnel de Phase 1.

Screen shot of the CA Certificate setting in Fireware Web UI

Clé pré-partagée différente

Vous pouvez spécifier des clés pré-partagées différentes pour chaque endpoint de passerelle. Vous pouvez sélectionner cette option si vous configurez un VPN entre un Firebox et un endpoint tiers et que ce dernier requiert une clé pré-partagée différente pour chaque endpoint de passerelle.

(Fireware v12.5.4 ou les versions ultérieures) Sélectionnez Chaîne ou Hexadécimal. Le paramètre par défaut est Chaîne. Pour plus d'informations sur les clés hexadécimales, consultez Clés Prépartagées Hexadécimales.

Bit DF

Le bit Don't Fragment (DF) est un indicateur situé dans l'en-tête d'un paquet. Vous pouvez sélectionner Copier, Définir ou Effacer pour choisir si le Firebox utilise le paramètre de bit DF original dans l'en-tête du paquet :


Le paramètre Bit DF dans Fireware Web UI


Le paramètre Bit DF dans Policy Manager

  • Copier — Cette option applique le paramètre de bit DF de la structure d'origine au paquet chiffré IPSec.
    Si une trame ne possède pas de bit DF défini, le Firebox ne définit pas les bits DF et fragmente le paquet si nécessaire. Si une trame est configurée de manière à ne pas être fragmentée, le Firebox encapsule entièrement la trame et définit les bits DF du paquet chiffré de manière identique à ceux de la trame d'origine.
  • Définir — Cette option dit au Firebox de ne pas fragmenter la structure, quel que soit le paramètre de bit d'origine.
    Si un utilisateur doit établir des connexions IPSec à un Firebox derrière un autre Firebox, vous devez décocher cette case pour activer la fonction de transmission IPSec. Par exemple, des employés itinérants travaillant sur un site client équipé d'un Firebox peuvent se connecter à leur réseau à l'aide d'IPSec. Pour que votre Firebox local établisse correctement la connexion IPSec sortante, vous devez également ajouter une stratégie IPSec.
  • Effacer — Cette option divise la structure en éléments pouvant tenir dans un paquet IPSec avec en-tête ESP ou AH, quel que soit le paramètre de bit d'origine.

Dans Fireware v12.2 et les versions antérieures, vous ne pouvez configurer le réglage de bit DF que dans les paramètres d'interface externe.

Dans Fireware v12.2.1 et les versions ultérieures, vous pouvez configurer le paramètre de bit DF dans les paramètres d'endpoint de passerelle BOVPN. Ce paramètre prend effet immédiatement. Le paramètre de bit DF indiqué pour l'enpoint de passerelle est prioritaire sur le paramètre de bit DF indiqué pour l'interface externe.

Si vous n'indiquez pas de paramètre de bit DF pour un endpoint de passerelle, celui-ci utilise le paramètre de bit DF indiqué dans les paramètres d'interface externe. Pour de plus amples informations concernant le paramètre de bit DF dans les paramètres d'interface externe, consultez

PMTU

Les paramètres Path Maximum Transmission Unit (PMTU) contrôlent la durée pendant laquelle le périphérique Firebox diminue l'unité maximale de transmission (MTU) d'un tunnel VPN IPSec lorsqu'il reçoit une requête ICMP de fragmentation d'un paquet provenant d'un routeur dont le paramètre MTU est inférieur sur Internet.

Dans Fireware v12.2.1 et les versions ultérieures, vous pouvez configurer des paramètres PMTU dans les paramètres d'endpoint de passerelle BOVPN. Les paramètres PMTU indiqués pour l'enpoint de passerelle sont prioritaires sur les paramètres PMTU indiqués pour l'interface externe. Si vous n'indiquez pas de paramètres PMTU pour un endpoint de passerelle, celui-ci utilise les paramètres PMTU indiqués dans les paramètres d'interface externe.

Il est conseillé de conserver le paramètre par défaut. pour vous protéger si un routeur présente un paramètre MTU très faible sur Internet.


Le paramètre de bit PMTU dans Fireware Web UI


Le paramètre de bit PMTU dans Policy Manager

Voir Également

Configurer des Passerelles BOVPN Manuelles

Configurer des Tunnels BOVPN Manuels