Précédence et Héritage des Paramètres SSL/TLS
Différentes fonctionnalités du Firebox utilisent SSL/TLS pour établir des communications sécurisées et partager le même serveur OpenVPN. Par ordre de priorité décroissante, les fonctionnalités partageant le serveur OpenVPN sont les suivantes :
- Management Tunnel over SSL sur les périphériques hub
- BOVPN over TLS en mode Serveur
- Mobile VPN with SSL
- Access Portal
Les fonctionnalités présentant une priorité faible héritent de certains paramètres SSL/TLS des fonctionnalités activées présentant une priorité supérieure. Les paramètres partagés ne sont pas configurables pour les fonctionnalités présentant une priorité faible.
Lorsque vous activez plusieurs de ces fonctionnalités, des messages d'information s'affichent pour indiquer que certains paramètres ont été hérités d'une autre fonctionnalité.
Stratégie Partagée
Lorsque vous activez Management Tunnel over SSL, BOVPN over TLS, Mobile VPN with SSL ou Access Portal, la stratégie WatchGuard SSLVPN est créée automatiquement. Toutes ces fonctionnalités partagent la stratégie WatchGuard SSLVPN.
Sur Fireware v12.1 et les versions ultérieures, la stratégie WatchGuard SSLVPN comprend par défaut uniquement l'interface Tout-Externe.
Nous vous recommandons de conserver la stratégie WatchGuard SSLVPN dans votre configuration. Sur Fireware v12.1 et les versions ultérieures, si vous supprimez la stratégie WatchGuard SSLVPN et créez une stratégie personnalisée portant un autre nom, Mobile VPN with SSL ne fonctionne pas si le protocole du Canal de Données est configuré sur TCP.
Dans Fireware v12.1.x, la stratégie WatchGuard SSLVPN comprend l'alias WG-VPN-Portal. Si vous mettez à niveau Fireware de la version v12.1.x à la version v12.2 ou une version ultérieure, l'alias WG-VPN-Portal est supprimé de la stratégie WatchGuard SSLVPN. Les interfaces qui figuraient dans l'alias WG-VPN-Portal figurent dans la stratégie WatchGuard SSLVPN, ce qui signifie que la stratégie s'applique au même trafic. Pour de plus amples informations, consultez la section Modifications de la stratégie WatchGuard SSLVPN et de l'alias WG-VPN-Portal dans Fireware v12.1.x de la Base de Connaissances WatchGuard.
Exemple de configurations
Les exemples de configuration de cette section décrivent les interactions entre ces fonctionnalités ainsi que leur incidence sur la stratégie WatchGuard SSLVPN. Ces exemples illustrent également les messages affichés lorsqu'une fonctionnalité a priorité sur une autre.
Sur Fireware v12.1.x, les paramètres partagés par Access Portal et Mobile VPN with SSL s'affichent sur la page Portail VPN. Le Canal de Données de Configuration de Mobile VPN with SSL a été renommé Port VPN Portal et figure dans les paramètres du Portail VPN. Sur Fireware v12.2, les paramètres du Portail VPN figurent désormais dans les configurations Access Portal et Mobile VPN with SSL. Pour obtenir les instructions de configuration s'appliquant à Fireware v12.1.x, consultez la section Configurer les paramètres du Portail VPN dans Fireware v12.1.x de la Base de Connaissances WatchGuard.
Dans cet exemple, les fonctionnalités suivantes sont activées sur votre Firebox :
- Management Tunnel over SSL sur un périphérique hub
- BOVPN over TLS en mode Serveur
- Mobile VPN with SSL
- Access Portal
Ces paramètres ne sont pas configurables :
- BOVPN over TLS en mode Serveur — Adresses IP du Firebox, pool d'adresses IP virtuelles, protocole et port de canal de données et renégocier le canal de données
- Mobile VPN with SSL — Adresses IP du Firebox, méthode réseau, pool d'adresses IP virtuelles, ressources VPN, canal de données, authentification du canal de configuration, chiffrement et temporisateurs.
- Access Portal — Port Access Portal
Ces messages s'affichent pour BOVPN over TLS en mode Serveur, Mobile VPN with SSL et Access Portal :
Dans cet exemple, les fonctionnalités suivantes sont activées sur votre Firebox :
- BOVPN over TLS en mode Serveur
- Mobile VPN with SSL
- Access Portal
Ces paramètres ne sont pas configurables :
- Mobile VPN with SSL — Adresses IP du Firebox, méthode réseau, pool d'adresses IP virtuelles, ressources VPN, canal de données, authentification du canal de configuration, chiffrement et temporisateurs
- Access Portal — Port Access Portal
Dans les paramètres BOVPN over TLS, vous pouvez configurer le Canal de Données de TCP ou UDP. Le paramètre Canal de Données de BOVPN over TLS a une incidence sur le paramètre Canal de Données de Mobile VPN with SSL.
Canal de Données TCP
Lorsque TCP est sélectionné dans les paramètres BOVPN over TLS, vous ne pouvez pas spécifier un port différent de 443. Le Canal de Données et le Canal de Configuration de Mobile VPN with SSL sont TCP 443 et ne peuvent pas être configurés. Le port Access Portal est 443 et ne peut pas être configuré.
Ces messages s'affichent pour Mobile VPN with SSL et Access Portal :
Canal de Données UDP
Dans la configuration BOVPN over TLS en mode Serveur, lorsqu'UDP est sélectionné dans les paramètres du Canal de Données, vous pouvez spécifier un port différent de 443.
Dans la configuration Mobile VPN with SSL, le Canal de Données est remplacé par UDP et le port du Canal de Données est remplacé par le port que vous avez spécifié pour le Canal de Données BOVPN over TLS. Le Canal de Configuration est 443 et ne peut pas être configuré.
Si vous activez BOVPN over TLS en mode Serveur et que Mobile VPN with SSL est déjà activé, le message suivant s'affiche si UDP est sélectionné pour le Canal de Données BOVPN over TLS :
Dans cet exemple, les fonctionnalités suivantes sont activées sur votre Firebox :
- Mobile VPN with SSL
- Access Portal
Dans les paramètres Mobile VPN with SSL, vous pouvez configurer le Canal de Données de TCP ou UDP. Le paramètre Canal de Données a une incidence sur le port Access Portal.
Canal de Données TCP
Dans les paramètres Mobile VPN with SSL, si le paramètre Canal de Données est défini sur TCP, le paramètre port Access Portal adopte le port spécifié et n'est pas configurable. Par exemple, si vous spécifiez TCP 444 pour le Canal de Données, le port Access Portal devient 444 et n'est pas configurable.
Le message suivant s'affiche dans la configuration d'Access Portal :
Canal de Données UDP
Dans les paramètres Mobile VPN with SSL, si le paramètre Canal de Données est défini sur UDP, le paramètre du port Access Portal demeure inchangé et peut être configuré.
Par exemple, si le Canal de Données est configuré sur UDP 444, vous pouvez spécifier le port 443 ou un autre port pour Access Portal. La stratégie WatchGuard SSLVPN comprend les ports UDP et TCP suivants :
Dans cet exemple, les fonctionnalités suivantes sont activées sur votre Firebox :
- BOVPN over TLS en mode Serveur
- Access Portal
Canal de Données TCP
Si le paramètre Canal de Données de BOVPN over TLS est configuré sur TCP, vous ne pouvez pas spécifier un port différent de 443. Le port Access Portal demeure 443 et ne peut pas être configuré.
Le message suivant s'affiche dans la configuration d'Access Portal :
Canal de Données UDP
Si le paramètre Canal de Données de BOVPN over TLS est configuré sur UDP, vous pouvez spécifier un port différent de 443. Le port Access Portal demeure 443 et ne peut pas être configuré.
Par exemple, si le Canal de Données BOVPN over TLS est configuré sur UDP 444, la stratégie WatchGuard SSLVPN comprend UDP 444 et TCP 443 :
Dans cet exemple, les fonctionnalités suivantes sont activées sur votre Firebox :
- BOVPN over TLS en mode Serveur
- Mobile VPN with SSL
Ces paramètres Mobile VPN with SSL ne sont pas configurables : adresses IP du Firebox, méthode réseau, pool d'adresses IP virtuelles, ressources VPN, canal de données, canal de configuration, authentification, chiffrement et temporisateurs.
Canal de Données TCP
Si le paramètre Canal de Données de BOVPN over TLS est configuré sur TCP, vous ne pouvez pas spécifier un port différent de 443. Le port du Canal de Configuration est 443 et ne peut pas être configuré.
Le message suivant s'affiche dans la configuration Mobile VPN with SSL :
Canal de Données UDP
Dans la configuration BOVPN over TLS en mode, si le paramètre Canal de Données est configuré sur UDP, vous pouvez spécifier un port différent de 443.
Dans la configuration Mobile VPN with SSL, le Canal de Données est remplacé par le port que vous avez spécifié pour BOVPN over TLS et ne peut pas être configuré. Le Canal de Configuration demeure 443 et ne peut pas être configuré.
Par exemple, si le Canal de Données de BOVPN over TLS est configuré sur UDP 444 :
- Le Canal de Données de Mobile VPN with SSL est remplacé par 444 et ne peut pas être configuré.
- Le Canal de Configuration demeure 443 et ne peut pas être configuré.
Dans cet exemple, les fonctionnalités suivantes sont activées sur votre Firebox :
- Management Tunnel over SSL sur un périphérique hub
- BOVPN over TLS en mode Serveur
Les paramètres BOVPN over TLS suivants ne sont pas configurables :
- Adresses IP du Firebox
- Pool d'adresses IP virtuelles
- Protocole et port de canal de données
- Renégocier le canal de données
Ce message s'affiche pour BOVPN over TLS :
Dans cet exemple, les fonctionnalités suivantes sont activées sur votre Firebox :
- Management Tunnel over SSL sur un périphérique hub
- Mobile VPN with SSL
Les paramètres Mobile VPN with SSL suivants ne sont pas configurables :
- Adresses IP du Firebox
- Méthode réseau
- Pool d'adresses IP virtuelles
- Ressources VPN
- Canal de données
- Canal de configuration
Le message suivant s'affiche pour Mobile VPN with SSL :
Dans cet exemple, les fonctionnalités suivantes sont activées sur votre Firebox :
- Management Tunnel over SSL sur un périphérique hub
- Access Portal
Le paramètre du port Access Portal ne peut pas être configuré.
Voir Également
Configurer les Tunnels de Gestion
Configurer BOVPN sur TLS en Mode Serveur