Démarrage Rapide — Configurer un VPN Entre Deux Firebox

Un tunnel de Branch Office Virtual Private Network (BOVPN) est un moyen sécurisé d'échanger des données via Internet entre des réseaux ou entre un hôte et un réseau. Cette rubrique résume les étapes requises pour configurer un tunnel BOVPN entre deux Firebox.

Cette rubrique n'inclut pas les descriptions des paramètres des boîtes de dialogue BOVPN ni les effets qu'ils peuvent avoir sur un tunnel. Pour plus d'informations sur les paramètres Branch Office VPN, consultez :

Pour des exemples de configuration détaillés, consultez Exemples de Configuration de Réseau BOVPN Manuel.

Les procédures de cette rubrique décrivent comment configurer un Branch Office VPN entre deux Firebox lorsque ces périphériques ont des adresses IP externes statiques. Pour plus d'informations sur la configuration d'une passerelle BOVPN pour un périphérique qui utilise une adresse IP externe dynamique, consultez Définir des endpoints de passerelle pour une passerelle BOVPN.

Démarrage rapide avec Fireware Web UI

Si les deux Firebox possèdent une adresse IP publique statique, vous devez connaître ces informations avant de commencer :

  • Adresse IP publique de chaque Firebox — L'adresse IP à laquelle se connecte la passerelle pair.
  • Adresse IP privée de chaque Firebox — L'adresse IP utilisée pour identifier un réseau local. Il s'agit des adresses IP des ordinateurs de chaque périphérique qui sont autorisés à envoyer du trafic dans le tunnel VPN.
  • Clé pré-partagée — Le mot de passe utilisé pour chiffrer et déchiffrer les données qui transitent par le tunnel VPN.

Voici une liste des informations à collecter :

Périphérique du site A

Adresse IP (publique) externe du site A : ______________________________

Adresses IP privées du site A : _____________________________

Périphérique du site B

Adresse IP (publique) externe du site B : ______________________________

Adresses IP privées du site B : _____________________________

Paramètres VPN communs

Clé pré-partagée : _____________________________

Vous devez également décider des paramètres de Phase 1 et de Phase 2 à utiliser. Vous pouvez utiliser les paramètres de Phase 1 et de Phase 2 par défaut sur les deux périphériques pour un VPN entre deux Firebox. Vous pouvez sélectionner IKEv2 dans les paramètres de Phase 1 pour une meilleure fiabilité du tunnel.

Pour consulter une liste complète des paramètres et un exemple détaillé de configuration des paramètres pour un BOVPN entre deux Firebox, consultez Configurer un VPN entre Deux Périphériques Fireware (Web UI).

  1. Sélectionnez VPN > Branch Office VPN.
  2. Sous la liste Passerelles, cliquez sur Ajouter.
  3. Dans la zone de texte Nom de la Passerelle, entrez un nom permettant d'identifier la passerelle en question.
  4. (Fireware v12.4 et versions ultérieures) Dans la liste déroulante Famille d'Adresses, sélectionnez Adresses IPv4 ou Adresses IPv6.
  5. Dans la section Méthode d'Informations d'Identification, sélectionnez Utiliser la Clé Pré-Partagée.
  6. (Fireware v12.5.4 ou les versions ultérieures) Sélectionnez Chaîne ou Hexadécimal. Le paramètre par défaut est Chaîne. Pour plus d'informations sur les clés hexadécimales, consultez Clés Prépartagées Hexadécimales.
  7. Entrez la clé partagée.
  8. Sous la liste Endpoint de Passerelle, cliquez sur Ajouter.
  9. Dans la liste déroulante Interface Externe, sélectionnez l'interface comportant l'adresse IP externe.
  10. Dans la liste déroulante Adresse IP de l'Interface, sélectionnez Adresse d'Interface Principale IPv4 ou Adresse d'Interface Principale IPv6.
  11. Sélectionnez Par adresse IP.
  12. Dans la zone de texte Par Adresse IP, entrez l'adresse IP externe (publique) du Firebox du site A.
  13. Sélectionnez l'onglet Passerelle Distante.
  14. Sélectionnez Adresse IP statique.
  15. Dans la zone de texte Adresse IP statique, entrez l'adresse IP externe (publique) du Firebox du site B.
  16. Sélectionnez Par adresse IP. Dans la zone de texte Par adresse IP, entrez l'adresse IP externe du Firebox du site B.
  17. Cliquez sur OK pour fermer la boîte de dialogue Paramètres des Endpoints de Passerelle.
  18. Cliquez sur Enregistrer pour enregistrer les paramètres de passerelle.
  1. Sur la page Branch Office VPN, en dessous de la liste Tunnels, cliquez sur Ajouter.
  2. Dans la zone de texte Nom, entrez le nom du tunnel.
  3. Dans la liste déroulante Passerelle, sélectionnez la passerelle que vous avez créée.
  4. Sous la liste Adresses, cliquez sur Ajouter.
  5. Dans la section IP locale, sélectionnez le type d'adresse locale dans la liste déroulante Choisir le type. Par exemple, sélectionnez IPv4 réseau pour ajouter un sous-réseau IPv4.
  6. Dans la zone de texte adjacente, saisissez l'adresse réseau privée du site A.
  7. Dans la section IP distante, sélectionnez le type d'adresse distante dans la liste déroulante Choisir le type. Par exemple, sélectionnez IPv4 réseau pour ajouter un sous-réseau IPv4.
  8. Dans la zone de texte adjacente, saisissez l'adresse réseau privée du site B.
  9. Dans la liste déroulante Direction, sélectionnez le sens du tunnel. Le sens du tunnel détermine quel endpoint du tunnel VPN peut démarrer une connexion VPN à travers le tunnel.
  10. Cliquez sur OK.
  11. Cliquez sur Enregistrer pour enregistrer les paramètres du tunnel.
  1. Sélectionnez VPN > Branch Office VPN.
  2. Sous la liste Passerelles, cliquez sur Ajouter.
  3. Dans la zone de texte Nom de la Passerelle, entrez un nom permettant d'identifier la passerelle en question.
  4. (Fireware v12.4 et versions ultérieures) Dans la liste déroulante Famille d'Adresses, sélectionnez Adresses IPv4 ou Adresses IPv6.
  5. Dans la section Méthode d'Informations d'Identification, sélectionnez Utiliser la Clé Pré-Partagée.
  6. (Fireware v12.5.4 ou les versions ultérieures) Sélectionnez Chaîne ou Hexadécimal. Le paramètre par défaut est Chaîne. Pour plus d'informations sur les clés hexadécimales, consultez Clés Prépartagées Hexadécimales.
  7. Entrez la clé partagée.
  8. Sous la liste Endpoint de Passerelle, cliquez sur Ajouter.
  9. Dans la liste déroulante Interface Externe, sélectionnez l'interface comportant l'adresse IP externe.
  10. Sélectionnez Par adresse IP.
  11. Dans la zone de texte Par adresse IP, entrez l'adresse IP externe (publique) du Firebox du site B.
  12. Sélectionnez l'onglet Passerelle Distante.
  13. Sélectionnez Adresse IP statique.
  14. Dans la zone de texte Adresse IP statique, entrez l'adresse IP externe (publique) du Firebox du site A.
  15. Sélectionnez Par adresse IP. Dans la zone de texte Par Adresse IP, entrez l'adresse IP externe du Firebox du site A.
  16. Cliquez sur OK pour fermer la boîte de dialogue Paramètres des Endpoints de Passerelle.
  17. Cliquez sur Enregistrer pour enregistrer les paramètres de passerelle.
  1. Sur la page Branch Office VPN, en dessous de la liste Tunnels, cliquez sur Ajouter.
  2. Dans la zone de texte Nom, entrez le nom du tunnel.
  3. Dans la liste déroulante Passerelle, sélectionnez la passerelle que vous avez créée.
  4. Sous la liste Adresses, cliquez sur Ajouter.
  5. Dans la section IP locale, sélectionnez le type d'adresse locale dans la liste déroulante Choisir le type. Par exemple, sélectionnez IPv4 réseau pour ajouter un sous-réseau IPv4.
  6. Dans la zone de texte adjacente, saisissez l'adresse réseau privée du site B.
  7. Dans la section IP distante, sélectionnez le type d'adresse distante dans la liste déroulante Choisir le type. Par exemple, sélectionnez IPv4 réseau pour ajouter un sous-réseau IPv4.
  8. Dans la zone de texte adjacente, saisissez l'adresse réseau privée du site A.
  9. Dans la liste déroulante Direction, sélectionnez le sens du tunnel. Le sens du tunnel détermine quel endpoint du tunnel VPN peut démarrer une connexion VPN à travers le tunnel.
  10. Cliquez sur OK.
  11. Cliquez sur Enregistrer pour enregistrer les paramètres du tunnel.

Démarrage rapide avec Policy Manager

Si les deux périphériques possèdent une adresse IP publique statique, vous devez connaître ces informations avant de commencer :

  • Adresse IP publique de chaque périphérique — L'adresse IP à laquelle se connecte la passerelle pair.
  • Adresse IP privée de chaque périphérique — L'adresse utilisée pour identifier un réseau local. Il s'agit des adresses IP des ordinateurs de chaque périphérique qui sont autorisés à envoyer du trafic dans le tunnel VPN.
  • Clé pré-partagée — Le mot de passe utilisé pour chiffrer et déchiffrer les données qui transitent par le tunnel VPN.

Voici une liste des informations à collecter :

Périphérique du site A

Adresse IP (publique) externe du site A : ______________________________

Adresses IP privées du site A : _____________________________

Périphérique du site B

Adresse IP (publique) externe du site B : ______________________________

Adresses IP privées du site B : _____________________________

Paramètres VPN communs

Clé pré-partagée : _____________________________

Vous devez également décider des paramètres de Phase 1 et de Phase 2 à utiliser. Vous pouvez utiliser les paramètres de Phase 1 et de Phase 2 par défaut sur les deux périphériques pour un VPN entre deux Firebox.

Pour consulter une liste complète des paramètres et un exemple détaillé de configuration des paramètres pour un BOVPN entre deux Firebox, consultez Configurer un VPN entre Deux Périphériques Fireware (WSM).

  1. Dans Policy Manager, sélectionnez VPN > Passerelles Branch Office. Cliquez sur Ajouter.
  2. Dans la zone de texte Nom de la Passerelle, entrez un nom permettant d'identifier la passerelle dans Policy Manager.
  3. Dans la section Méthode d'Informations d'Identification, sélectionnez Utiliser la Clé Pré-Partagée.
  4. (Fireware v12.5.4 ou les versions ultérieures) Sélectionnez Chaîne ou Hexadécimal. Le paramètre par défaut est Chaîne. Pour plus d'informations sur les clés hexadécimales, consultez Clés Prépartagées Hexadécimales.
  5. Entrez la clé partagée.
  6. Dans la section Endpoints de Passerelle, cliquez sur Ajouter.
  7. Dans la liste déroulante Interface Externe, sélectionnez l'interface comportant l'adresse IP externe.
  8. Sélectionnez Par adresse IP.
  9. Dans la liste déroulante Adresse IP, sélectionnez l'adresse IP externe du périphérique du site A.
  10. Dans la section Passerelle Distante, sélectionnez Adresse IP statique.
  11. Dans la zone de texte Adresse IP, saisissez l'adresse IP externe (publique) du périphérique du site B.
  12. Dans la section Spécifier l'ID de passerelle pour l'authentification du tunnel, sélectionnez Par Adresse IP.
  13. Dans la zone de texte Adresse IP, saisissez l'adresse IP externe (publique) du périphérique du site B.
  14. Cliquez sur OK pour fermer la boîte de dialogue Paramètres d'Endpoints de la Nouvelle Passerelle.
  15. Cliquez sur Fermer pour fermer la boîte de dialogue Passerelles.
  1. Dans Policy Manager, sélectionnez VPN > Tunnels Branch Office. Cliquez sur Ajouter.
  2. Dans la zone de texte Nom de tunnel, entrez le nom du tunnel.
  3. Dans la liste déroulante Passerelle, sélectionnez la passerelle que vous avez créée.
  4. Dans la section Adresses, cliquez sur Ajouter.
  5. Dans la zone de texte Local, saisissez l'adresse IP réseau privée du réseau local du site A. Vous pouvez également cliquer sur le bouton en regard de la liste déroulante Local pour entrer une adresse IP d'hôte, une adresse réseau, une plage d'adresses IP d'hôte ou un nom DNS.
  6. Saisissez l'adresse réseau privée du site B dans la zone de texte Distant. Vous pouvez également cliquer sur le bouton adjacent pour saisir une adresse IP d'hôte, une adresse réseau, une plage d'adresses IP d'hôte ou un nom DNS.
  7. Dans la liste déroulante Direction, sélectionnez le sens du tunnel. Le sens du tunnel détermine quel endpoint du tunnel VPN peut démarrer une connexion VPN à travers le tunnel.
  8. Cliquez sur OK.
  9. Cliquez sur Fermer et enregistrez les modifications apportées au périphérique du site A.
  1. Dans Policy Manager, sélectionnez VPN > Passerelles Branch Office. Cliquez sur Ajouter.
  2. Dans la zone de texte Nom de la Passerelle, entrez un nom permettant d'identifier la passerelle dans Policy Manager.
  3. Dans la section Méthode d'Informations d'Identification, sélectionnez Utiliser la Clé Pré-Partagée.
  4. (Fireware v12.5.4 ou les versions ultérieures) Sélectionnez Chaîne ou Hexadécimal. Le paramètre par défaut est Chaîne. Pour plus d'informations sur les clés hexadécimales, consultez Clés Prépartagées Hexadécimales.
  5. Entrez la clé partagée.
  6. Dans la section Endpoints de Passerelle, cliquez sur Ajouter.
  7. Dans la liste déroulante Interface Externe, sélectionnez l'interface comportant l'adresse IP externe.
  8. Sélectionnez Par adresse IP.
  9. Dans la liste déroulante Adresse IP, sélectionnez l'adresse IP externe statique principale du périphérique du site B.
  10. Dans la section Passerelle Distante, sélectionnez Adresse IP statique.
  11. Dans la zone de texte Adresse IP, saisissez l'adresse IP externe (publique) du périphérique du site A.
  12. Dans la section Spécifier l'ID de passerelle pour l'authentification du tunnel, sélectionnez Par Adresse IP.
  13. Dans la zone de texte Adresse IP, saisissez l'adresse IP externe (publique) du périphérique du site A.
  14. Cliquez sur OK pour fermer la boîte de dialogue Paramètres d'Endpoints de la Nouvelle Passerelle.
  1. Dans Policy Manager, sélectionnez VPN > Tunnels Branch Office. Cliquez sur Ajouter.
  2. Dans la zone de texte Nom de tunnel, entrez le nom du tunnel.
  3. Dans la liste déroulante Passerelle, sélectionnez la passerelle que vous avez créée.
  4. Dans la section Adresses, cliquez sur Ajouter.
  5. Dans la zone de texte Local, saisissez l'adresse du réseau (privé) local du site B. Vous pouvez également cliquer sur le bouton en regard de la liste déroulante Local pour entrer une adresse IP d'hôte, une adresse réseau, une plage d'adresses IP d'hôte ou un nom DNS.
  6. Saisissez l'adresse réseau privée du site A dans la zone de texte Distant. Vous pouvez également cliquer sur le bouton adjacent pour saisir une adresse IP d'hôte, une adresse réseau, une plage d'adresses IP d'hôte ou un nom DNS.
  7. Dans la liste déroulante Direction, sélectionnez le sens du tunnel. Le sens du tunnel détermine quel endpoint du tunnel VPN peut démarrer une connexion VPN à travers le tunnel.
  8. Cliquez sur OK.
  9. Cliquez sur Fermer et enregistrez les modifications apportées au périphérique du site B.

Une fois la configuration VPN terminée et enregistrée sur les deux périphériques, ces derniers négocient automatiquement le tunnel.

Si les périphériques ne parviennent pas à établir le tunnel, examinez les fichiers journaux des deux Firebox de la période à laquelle vous avez essayé de démarrer le tunnel. Vous devriez trouver des messages de journal indiquant où l'échec s'est produit et les paramètres à l'origine du problème. Vous pouvez également consulter les messages de journal en temps réel dans Firebox System Manager.

Voir Également

Surveiller et Dépanner les Tunnels BOVPN