Configurer des Passerelles BOVPN Manuelles

Une passerelle branch office VPN (BOVPN) est un point de connexion d'un ou plusieurs tunnels. Pour établir un tunnel, vous devez configurer des passerelles sur les périphériques de terminaison locaux et distants. Pour configurer ces passerelles, vous devez spécifier les éléments suivants :

  • Méthode d'informations d'identification — clés pré-partagées ou certificat Firebox IPSec.
    Pour plus d'informations sur l'utilisation de certificats pour l'authentification BOVPN, consultez Certificats pour l'Authentification des Tunnels Branch Office VPN (BOVPN).
  • Emplacement des endpoints de passerelle locaux et distants, soit par l'adresse IP, soit par les informations de domaine.
  • Paramètres de phase 1 de la négociation IKE (Internet Key Exchange). Cette phase définit l'association de sécurité, ou les protocoles et paramètres que les endpoints de passerelle utiliseront pour communiquer et pour protéger les données en transit au cours de la négociation.

BOVPN IPv6

Dans Fireware v12.4 et versions ultérieures, vous pouvez configurer un BOVPN entre deux passerelles IPv6. Un tunnel IPv4 n'est pas nécessaire.

Avant de configurer une passerelle, vous devez activer l'IPv6 pour l'interface externe que la passerelle utilise. Lorsque vous activez l'IPv6 pour l'interface, vous devez configurer une adresse IPv6 statique ou sélectionner l'option client DHCPv6. Pour plus d'informations, consultez Configurer IPv6 pour une Interface Externe.

Lorsque vous ajoutez une passerelle, vous devez spécifier une Famille d'Adresses. Les options sont Adresses IPv4 ou Adresses IPv6. Dans les paramètres de passerelle et de tunnel, les adresses IP que vous spécifiez doivent être de la même famille. Par exemple, si vous spécifiez la famille d'Adresses IPv6, vous ne pouvez spécifier que des adresses IPv6 dans les paramètres de passerelle et de tunnel.

Les options suivantes ne sont pas prises en charge pour les BOVPN IPv6 :

  • Multidiffusion
  • Basculement vers un modem
  • NAT et direction
  • Routage de diffusion
  • Paramètre Tentative de résolution du domaine

Ajouter une passerelle

Configurez les passerelles de chaque endpoint du BOVPN.

  1. Sélectionnez VPN > Branch Office VPN.

    La page de configuration Branch Office VPN s'affiche.

Capture d'écran de la liste Passerelles du réseau Branch Office VPN

  1. Pour ajouter une passerelle, cliquez sur Ajouter dans la section Passerelles.
    La page de paramètres Passerelle s'ouvre.

Capture d'écran de l'onglet Paramètres généraux de la passerelle

  1. Dans la zone de texte Nom de la Passerelle, entrez un nom permettant d'identifier la passerelle pour ce Firebox.
  2. (Fireware v12.4 et versions ultérieures) Dans la liste déroulante Famille d'Adresses, sélectionnez Adresses IPv4 ou Adresses IPv6.
  3. Sélectionnez Utiliser la Clé Pré-Partagée ou Utiliser le Certificat Firebox IPSec pour identifier la méthode d'authentification pour ce tunnel.

Utiliser une clé pré-partagée

(Fireware v12.5.4 ou les versions ultérieures) Sélectionnez Chaîne ou Hexadécimal. Le paramètre par défaut est Chaîne. Pour plus d'informations sur les clés hexadécimales, consultez Clés Prépartagées Hexadécimales.

Tapez ou collez la clé partagée. Vous devez utiliser la même clé partagée sur le périphérique distant. Cette clé partagée chaîne doit uniquement utiliser des caractères ASCII standard, et avoir 79 caractères maximum. Une clé pré-partagée hexadécimale peut inclure n'importe quelle combinaison ou quantité de caractères hexadécimaux.

Utiliser Firebox Certificate d'IPSec

Les certificats actuels sur le Firebox apparaissent dans la liste des certificats. Ceci comprend l'identifiant Sécurité IP IKE intermédiaire Extension de l'Utilisation de Clé (EKU) (OID 1.3.6.1.5.5.8.2.2). Vous pouvez également sélectionner un certificat qui ne comprend pas d'identifiant EKU.

Pour voir une liste des certificats disponibles qui ne comprennent pas un identifiant EKU, cochez la case Afficher Tous les Certificats.

(Fireware v12.6.2 ou les versions ultérieures) Lorsque vous sélectionnez un certificat pour l'authentification, vous pouvez spécifier un certificat CA pour la vérification du pair VPN dans les paramètres du endpoint de la passerelle.

Pour plus d'informations, consultez Certificats pour l'Authentification des Tunnels Branch Office VPN (BOVPN).

Vous pouvez à présent définir les endpoints des passerelles. Pour plus d'informations, consultez Définir des endpoints de passerelle pour une passerelle BOVPN.

  1. Sélectionnez VPN > Passerelles Branch Office.
    La boîte de dialogue Passerelles s'affiche.

Capture d'écran de la boîte de dialogue Passerelles

  1. Pour ajouter une passerelle, cliquez sur Ajouter.
    La boîte de dialogue Nouvelle Passerelle s'affiche.

Capture d'écran de la boîte de dialogue Nouvelle Passerelle

  1. Dans la zone de texte Nom de la Passerelle, entrez un nom permettant d'identifier la passerelle pour ce Firebox.
  2. (Fireware v12.4 et versions ultérieures) Dans la liste déroulante Famille d'Adresses, sélectionnez Adresses IPv4 ou Adresses IPv6.
  3. Dans la boîte de dialogue Nouvelle Passerelle, sélectionnez Utiliser une Clé Pré-Partagée ou Utiliser le Certificat Firebox IPSec pour identifier la méthode d'authentification pour ce tunnel.

Utiliser une clé pré-partagée

(Fireware v12.5.4 ou les versions ultérieures) Sélectionnez Chaîne ou Hexadécimal. Le paramètre par défaut est Chaîne. Pour plus d'informations sur les clés hexadécimales, consultez Clés Prépartagées Hexadécimales.

Tapez ou collez la clé partagée. Vous devez utiliser la même clé partagée sur le périphérique distant. Cette clé partagée chaîne doit uniquement utiliser des caractères ASCII standard, et avoir 79 caractères maximum. Une clé pré-partagée hexadécimale peut inclure n'importe quelle combinaison ou quantité de caractères hexadécimaux.

Utiliser Firebox Certificate d'IPSec

Les certificats actuels sur le Firebox apparaissent dans la liste des certificats. Ceci comprend l'identifiant Sécurité IP IKE intermédiaire Extension de l'Utilisation de Clé (EKU) (OID 1.3.6.1.5.5.8.2.2). Vous pouvez également sélectionner un certificat qui ne comprend pas d'identifiant EKU.

Pour voir une liste des certificats disponibles qui ne comprennent pas un identifiant EKU, cochez la case Afficher Tous les Certificats.

(Fireware v12.6.2 ou les versions ultérieures) Lorsque vous sélectionnez un certificat pour l'authentification, vous pouvez spécifier un certificat CA pour la vérification du pair VPN dans les paramètres du endpoint de la passerelle.

Pour plus d'informations, consultez Certificats pour l'Authentification des Tunnels Branch Office VPN (BOVPN).

Vous pouvez maintenant définir les endpoints de passerelle et configurer les paramètres de phase 1. Pour de plus amples informations, consultez :

Exécuter le Rapport de Configuration de Passerelle BOVPN

À la suite de l'ajout d'une passerelle, vous pouvez exécuter un rapport pour afficher un résumé de tous les paramètres de passerelle. Ce rapport peut être utile si vous avez besoin de dépanner le VPN. Il peut également faciliter la comparaison des paramètres configurés avec les paramètres du périphérique d'endpoint VPN distant.

Pour exécuter le rapport à partir de Fireware Web UI ou Policy Manager :

  1. Sélectionnez une passerelle configurée dans la boîte de dialogue Passerelles.
  2. Cliquez sur Rapport.
  3. Pour ajouter des détails à propos de tunnels qui utilisent cette passerelle, cochez la case Afficher les Détails du Tunnel.

Pour plus d'informations sur ce rapport, consultez Utiliser les Rapports de Configuration BOVPN.

Voir Également

Modifier et Supprimer des Passerelles

Ajouter une transformation de Phase 1

Configurer les Paramètres IPSec de Phase 1