Définir des Endpoints de Passerelle pour une Interface Virtuelle BOVPN
Les endpoints de passerelle sont les passerelles locales et distantes reliées par un BOVPN. La configuration des endpoints de passerelle permet à votre Firebox de spécifier comment identifier et communiquer avec le périphérique d'endpoint distant lorsqu'il négocie le BOVPN. Elle permet également au périphérique de spécifier comment s'identifier auprès du endpoint distant lorsqu'il négocie le BOVPN. Vous devez configurer au moins une paire d'endpoints de passerelle lorsque vous ajoutez une interface virtuelle BOVPN.
Vous pouvez configurer plusieurs endpoints de passerelle pour le basculement VPN. Pour plus d'informations, consultez Configurer le Basculement VPN.
Dans Fireware v12.2 et les versions ultérieures, vous pouvez indiquer une adresse IP d'interface secondaire comme endpoint de passerelle. Par défaut, l'adresse IP principale configurée sur l'interface externe que vous indiquez est utilisée.
Dans Fireware v12.1.x et les versions antérieures, n'utilisez pas d'adresse IP d'interface secondaire comme endpoint de passerelle. Si vous configurez un endpoint de passerelle avec une adresse IP d'une interface secondaire, la connexion BOVPN peut échouer si le Firebox local initie la connexion BOVPN. La raison en est que le Firebox initie la connexion avec l'adresse IP de l'interface primaire. Si l'endpoint distant initie la connexion BOVPN et spécifie l'adresse IP de l'interface secondaire, la connexion réussit.
Passerelle locale
Dans les paramètres Passerelle locale, configurez l'ID de la passerelle et l'interface à laquelle se connecte le réseau BOVPN sur votre Firebox. Vous pouvez configurer une interface virtuelle BOVPN pour utiliser n'importe quelle interface interne ou externe comme passerelle locale.
Pour l'ID de passerelle, si vous avez une adresse IP statique, vous pouvez sélectionner Par Adresse IP. Si vous avez un domaine correspondant à l'adresse IP à laquelle se connecte le réseau BOVPN sur votre Firebox, sélectionnez Par informations de Domaine.
- Sélectionnez VPN > Interface Virtuelle BOVPN.
- Cliquez sur Ajouter.
- Dans la section Endpoints de Passerelle, cliquez sur Ajouter.
La boîte de dialogue Paramètres des Endpoints de Passerelle apparaît.
- Sélectionnez l'interface physique ou logique du périphérique qui a l'adresse IP ou le nom de domaine que vous avez spécifié comme ID de passerelle.
- Pour sélectionner une interface physique ou sans fil, sélectionnez une interface physique ou sans fil configurée dans la liste déroulante Physique.
- Pour sélectionner un VLAN, un Pont, une Agrégation des Liaisons ou une interface PPPoE :
- Sélectionnez Autre.
- Cliquez sur Sélectionner.
La boîte de dialogue Sélectionner l'interface de la passerelle locale s'affiche.
- Dans la liste des interfaces, sélectionnez l'interface.
- Pour filtrer la liste d'interfaces, sélectionnez une option dans les listes déroulantes Zone et Nom.
Ou saisissez un nom d'interface dans la zone de texte Nom.
- (Fireware v12.2 et versions ultérieures) Dans la liste déroulante Adresse IP de l'Interface, sélectionnez Adresse IP de l'Interface Principale ou sélectionnez une adresse IP secondaire qui est déjà configurée sur l'interface externe choisie. Astuce !
- Sélectionnez une option et indiquez l'ID de la passerelle :
- Par Adresse IP — Saisissez l'adresse IP de l'interface du Firebox.
Dans Fireware v12.1.1 et les versions antérieures, n'indiquez pas d'adresse IP d'interface secondaire comme ID de passerelle. - Par Nom de Domaine — Entrez votre nom de domaine. Dans Fireware v12.5.2 et les versions ultérieures, vous pouvez spécifier jusqu'à 255 caractères. Dans Fireware v12.5.1 ou les versions antérieures, vous devez spécifier 63 caractères au maximum.
- Par ID utilisateur sur le domaine — Saisissez le nom d'utilisateur et le domaine au format nom d'utilisateur@Nom du domaine. Dans Fireware v12.5.2 ou les versions ultérieures, vous pouvez spécifier jusqu'à 255 caractères. Dans Fireware v12.5.1 ou les versions antérieures, vous devez spécifier 63 caractères au maximum.
- Par nom x500 — Cette option est automatiquement sélectionnée si vous avez spécifié un certificat comme méthode d'informations d'identification. Dans Fireware v12.5.2 ou les versions ultérieures, vous pouvez spécifier un certificat avec un nom x500 d'une longueur maximale de 255 caractères. Dans Fireware v12.5.1 ou les versions antérieures, vous devez spécifier 63 caractères au maximum.
- Par Adresse IP — Saisissez l'adresse IP de l'interface du Firebox.
- Sélectionnez VPN > Interfaces Virtuelles BOVPN.
La boîte de dialogue Nouvelle Interface Virtuelle BOVPN apparaît. - Dans la section Endpoints de Passerelle, cliquez sur Ajouter.
La boîte de dialogue Paramètres des Endpoints de la Nouvelle Passerelle apparaît.
- Sélectionnez l'interface physique ou logique du périphérique qui a l'adresse IP ou le nom de domaine que vous avez spécifié comme ID de passerelle. Astuce !
- Pour sélectionner une interface physique ou sans fil, sélectionnez une interface physique ou sans fil configurée dans la liste déroulante Physique.
- Pour sélectionner un VLAN, un pont, une agrégation des liaisons ou une interface PPPoE :
- Sélectionnez Autre.
- Cliquez sur Sélectionner.
La boîte de dialogue Configurer l'Interface Locale pour l'Endpoint de Passerelle s'affiche.
- Dans la liste des interfaces, sélectionnez l'interface.
- Pour filtrer la liste d'interfaces, sélectionnez une option dans les listes déroulantes Zone et Nom.
Ou saisissez un nom d'interface dans la zone de texte Nom.
- (Fireware v12.2 et versions ultérieures) Dans la liste déroulante Adresse IP de l'Interface, sélectionnez Adresse IP de l'Interface Principale ou sélectionnez une adresse IP secondaire qui est déjà configurée sur l'interface externe choisie. Astuce !
- Sélectionnez une option et indiquez l'ID de la passerelle :
- Par Adresse IP — Saisissez ou sélectionnez l'adresse IP de l'interface du Firebox.
Dans Fireware v12.1.1 et les versions antérieures, n'indiquez pas d'adresse IP d'interface secondaire comme ID de passerelle. - Par Informations de Domaine — Cliquez sur Configurer et sélectionnez la méthode de configuration de domaine :
- Par Nom de Domaine — Entrez votre nom de domaine et cliquez sur OK. Dans Fireware v12.5.2 et les versions ultérieures, vous pouvez spécifier jusqu'à 255 caractères. Dans Fireware v12.5.1 ou les versions antérieures, vous devez spécifier 63 caractères au maximum.
- Par ID d'Utilisateur sur le Domaine — Entrez le nom d'utilisateur et le domaine au format NomUtilisateur@NomDomaine et cliquez sur OK. Dans Fireware v12.5.2 et les versions ultérieures, vous pouvez spécifier jusqu'à 255 caractères. Dans Fireware v12.5.1 ou les versions antérieures, vous devez spécifier 63 caractères au maximum.
- Par Adresse IP — Saisissez ou sélectionnez l'adresse IP de l'interface du Firebox.
Passerelle Distante
Si l'endpoint VPN distant obtient une adresse IP externe par DHCP ou PPPoE, définissez le type d'ID de la passerelle distante comme Nom de Domaine. Attribuez au nom du pair le nom de domaine complet du endpoint VPN distant. Le Firebox utilise l'adresse IP et le nom de domaine pour rechercher l'endpoint VPN. Vérifiez que le serveur DNS utilisé par le périphérique peut identifier le nom.
- Dans la boîte de dialogue Paramètres d'Endpoint de Passerelle, sélectionnez l'onglet Passerelle Distante.
- Sélectionnez le type d'adresse IP de la passerelle distante :
- Adresse IP statique — Sélectionnez cette option si le périphérique distant a une adresse IP statique. Saisissez ou sélectionnez l'adresse IP.
Dans Fireware v12.4 et versions ultérieures, vous devez spécifier un type d'adresse IP qui correspond au paramètre Famille d'Adresses que vous avez configuré plus tôt. Par exemple, si vous avez spécifié Adresses IPv6, vous devez spécifier une adresse IPv6 dans la zone de texte Adresse IP statique. - Adresse IP dynamique — Sélectionnez cette option si le périphérique distant a une adresse IP dynamique.
- Adresse IP statique — Sélectionnez cette option si le périphérique distant a une adresse IP statique. Saisissez ou sélectionnez l'adresse IP.
- Sélectionnez une option et indiquez l'ID de la passerelle distante :
- Par adresse IP — Entrez l'adresse IP.
Dans Fireware v12.4 et versions ultérieures, vous devez spécifier un type d'adresse IP qui correspond au paramètre Famille d'Adresses que vous avez configuré plus tôt. Par exemple, si vous avez spécifié Adresses IPv6, vous devez spécifier une adresse IPv6 dans la zone de texte Par Adresse IP. - Par Nom de Domaine — Entrez le nom de domaine. Dans Fireware v12.5.2 et les versions ultérieures, vous pouvez spécifier jusqu'à 255 caractères. Dans Fireware v12.5.1 ou les versions antérieures, vous devez spécifier 63 caractères au maximum.
- Par ID d'Utilisateur sur le Domaine — Entrez l'ID d'utilisateur et le domaine. Dans Fireware v12.5.2 et les versions ultérieures, vous pouvez spécifier jusqu'à 255 caractères. Dans Fireware v12.5.1 ou les versions antérieures, vous devez spécifier 63 caractères au maximum.
- Par Nom x500 — Entrez le nom x500. Dans Fireware v12.5.2 et les versions ultérieures, vous pouvez spécifier jusqu'à 255 caractères. Dans Fireware v12.5.1 ou les versions antérieures, vous devez spécifier 63 caractères au maximum.
Pour un endpoint de passerelle IPv4, si le nom de domaine du endpoint distant peut être résolu, cochez la case Tenter de résoudre le domaine.
Quand cette option est sélectionnée, le périphérique procède automatiquement à une requête DNS pour trouver l'adresse IP associée au nom de domaine de l'endpoint distant. Les connexions ne se font pas tant que le nom de domaine n'est pas résolu. Cochez cette case pour les configurations qui dépendent d'un serveur DNS dynamique afin de maintenir un mappage entre une adresse IP dynamique et un nom de domaine. - Par adresse IP — Entrez l'adresse IP.
- Cliquez sur OK.
La paire de passerelles que vous avez définie apparaît dans la liste des endpoints de passerelle. - Pour configurer les paramètres de la Phase 1 pour cette passerelle, suivez les étapes dans Configurer les Paramètres IPSec de Phase 1.
- Sélectionnez le type d'adresse IP de la passerelle distante :
- Adresse IP statique — Sélectionnez cette option si le périphérique distant a une adresse IP statique. Saisissez ou sélectionnez l'adresse IP.
Dans Fireware v12.4 et versions ultérieures, vous devez spécifier un type d'adresse IP qui correspond au paramètre Famille d'Adresses que vous avez configuré plus tôt. Par exemple, si vous avez spécifié Adresses IPv6, vous devez spécifier une adresse IPv6 dans la zone de texte Adresse IP statique. - Adresse IP dynamique — Sélectionnez cette option si le périphérique distant a une adresse IP dynamique.
- Adresse IP statique — Sélectionnez cette option si le périphérique distant a une adresse IP statique. Saisissez ou sélectionnez l'adresse IP.
- Sélectionnez une option et indiquez l'ID de la passerelle :
- Par adresse IP — Tapez l'adresse IP ou sélectionnez-la dans la liste déroulante.
Dans Fireware v12.4 et versions ultérieures, vous devez spécifier un type d'adresse IP qui correspond au paramètre Famille d'Adresses que vous avez configuré plus tôt. Par exemple, si vous avez spécifié Adresses IPv6, vous devez spécifier une adresse IPv6 dans la zone de texte Par Adresse IP. - Par informations de domaine
- Cliquez sur Configurer et sélectionnez la méthode de configuration du domaine : Nom de Domaine, ID Utilisateur @ Domaine ou Nom X500.
- Tapez le nom, l'ID d'utilisateur et domaine ou le nom x500. Dans Fireware v12.5.2 et les versions ultérieures, vous pouvez spécifier jusqu'à 255 caractères. Dans Fireware v12.5.1 ou les versions antérieures, vous devez spécifier 63 caractères au maximum.
- Pour un enpoint de passerelle IPv4, si le nom de domaine de l'endpoint distant peut être résolu, cochez la case Tenter de résoudre.
Quand cette option est sélectionnée, le périphérique procède automatiquement à une requête DNS pour trouver l'adresse IP associée au nom de domaine de l'endpoint distant. Les connexions ne se font pas tant que le nom de domaine n'est pas résolu. Cochez cette case pour les configurations qui dépendent d'un serveur DNS dynamique afin de maintenir un mappage entre une adresse IP dynamique et un nom de domaine. - Cliquez sur OK.
- Par adresse IP — Tapez l'adresse IP ou sélectionnez-la dans la liste déroulante.
- Cliquez sur OK pour fermer la boîte de dialogue Paramètres de Endpoints de la Nouvelle Passerelle.
La paire de passerelles que vous avez définie apparaît dans la liste des endpoints de passerelle. - Pour ne pas utiliser les valeurs par défaut des paramètres de Phase 1, suivez les étapes dans Configurer les Paramètres IPSec de Phase 1. Sinon, cliquez sur OK.
Paramètres Avancés
Certificat d'Autorité de Certification
(Fireware v12.6.2 ou les versions ultérieures) Cette option apparaît si vous sélectionnez un certificat pour l'authentification. Lorsque vous activez cette option, vous devez sélectionner un certificat d'Autorité de Certification racine ou intermédiaire dans la liste déroulante Certificat CA. Le Firebox utilise ce certificat d'Autorité de Certification pour vérifier le certificat reçu du pair VPN. Le certificat du pair VPN doit faire partie de la chaîne de certificats qui inclut le certificat d'Autorité de Certification racine ou intermédiaire spécifié. Si le certificat pair ne fait pas partie de la chaîne, le Firebox rejette les négociations de tunnel de Phase 1.
Clé pré-partagée différente
Vous pouvez spécifier des clés pré-partagées différentes pour chaque endpoint de passerelle. Vous pouvez sélectionner cette option si vous configurez un VPN entre un Firebox et un endpoint tiers et que ce dernier requiert une clé pré-partagée différente pour chaque endpoint de passerelle.
(Fireware v12.5.4 ou les versions ultérieures) Sélectionnez Chaîne ou Hexadécimal. Le paramètre par défaut est Chaîne. Pour plus d'informations sur les clés hexadécimales, consultez Clés Prépartagées Hexadécimales.
Bit DF
Le bit Don't Fragment (DF) est un indicateur situé dans l'en-tête d'un paquet. Vous pouvez sélectionner Copier, Définir ou Effacer pour choisir si le Firebox utilise le paramètre de bit DF original dans l'en-tête du paquet :
Le paramètre Bit DF dans Fireware Web UI
Le paramètre Bit DF dans Policy Manager
- Copier — Cette option applique le paramètre de bit DF de la structure d'origine au paquet chiffré IPSec.
Si une trame ne possède pas de bit DF défini, le Firebox ne définit pas les bits DF et fragmente le paquet si nécessaire. Si une trame est configurée de manière à ne pas être fragmentée, le Firebox encapsule entièrement la trame et définit les bits DF du paquet chiffré de manière identique à ceux de la trame d'origine. - Définir — Cette option dit au Firebox de ne pas fragmenter la structure, quel que soit le paramètre de bit d'origine.
Si un utilisateur doit établir des connexions IPSec à un Firebox derrière un autre Firebox, vous devez décocher cette case pour activer la fonction de transmission IPSec. Par exemple, des employés itinérants travaillant sur un site client équipé d'un Firebox peuvent se connecter à leur réseau à l'aide d'IPSec. Pour que votre Firebox local établisse correctement la connexion IPSec sortante, vous devez également ajouter une stratégie IPSec. - Effacer — Cette option divise la structure en éléments pouvant tenir dans un paquet IPSec avec en-tête ESP ou AH, quel que soit le paramètre de bit d'origine.
Dans Fireware v12.2 et les versions antérieures, vous ne pouvez configurer le réglage de bit DF que dans les paramètres d'interface externe.
Dans Fireware v12.2.1 et les versions ultérieures, vous pouvez configurer le paramètre de bit DF dans les paramètres d'endpoint de passerelle BOVPN. Ce paramètre prend effet immédiatement. Le paramètre de bit DF indiqué pour l'enpoint de passerelle est prioritaire sur le paramètre de bit DF indiqué pour l'interface externe.
Si vous n'indiquez pas de paramètre de bit DF pour un endpoint de passerelle, celui-ci utilise le paramètre de bit DF indiqué dans les paramètres d'interface externe. Pour de plus amples informations concernant le paramètre de bit DF dans les paramètres d'interface externe, consultez
PMTU
Les paramètres Path Maximum Transmission Unit (PMTU) contrôlent la durée pendant laquelle le périphérique Firebox diminue l'unité maximale de transmission (MTU) d'un tunnel VPN IPSec lorsqu'il reçoit une requête ICMP de fragmentation d'un paquet provenant d'un routeur dont le paramètre MTU est inférieur sur Internet.
Dans Fireware v12.2.1 et les versions ultérieures, vous pouvez configurer des paramètres PMTU dans les paramètres d'endpoint de passerelle BOVPN. Les paramètres PMTU indiqués pour l'enpoint de passerelle sont prioritaires sur les paramètres PMTU indiqués pour l'interface externe. Si vous n'indiquez pas de paramètres PMTU pour un endpoint de passerelle, celui-ci utilise les paramètres PMTU indiqués dans les paramètres d'interface externe.
Il est conseillé de conserver le paramètre par défaut. pour vous protéger si un routeur présente un paramètre MTU très faible sur Internet.
Le paramètre de bit PMTU dans Fireware Web UI
Le paramètre de bit PMTU dans Policy Manager