Configurer un BOVPN Vers un Firebox Géré Localement ou un Endpoint VPN Tiers

S'applique à : Fireboxes Gérés sur le Cloud

Vous pouvez configurer un VPN à partir d'un Firebox géré sur le cloud vers n'importe quel Firebox ou endpoint VPN tiers prenant en charge les VPN IKEv2 avec des paramètres compatibles. Vous pouvez configurer une interface virtuelle BOVPN vers un endpoint VPN tiers ou un endpoint cloud. Les endpoints pris en charge comptent des réseaux virtuels en nuage tels que Microsoft Azure, Amazon AWS et Cisco VTI.

Pour configurer un BOVPN entre deux Fireboxes gérés sur le cloud appartenant au même compte WatchGuard Cloud, accédez à Configurer un BOVPN Entre des Fireboxes Gérés sur le Cloud.

Lorsque vous configurez le BOVPN, WatchGuard Cloud déploie la configuration sur le Firebox géré sur le cloud. Vous devez ensuite configurer l'endpoint distant avec les mêmes paramètres.

Lorsque vous ajoutez un BOVPN vers un Firebox géré sur le cloud, vous configurez :

Gateways VPN — Les réseaux externes que les deux périphériques utilisent pour se connecter.
Méthode d'Informations d'Identification — Sélectionnez l'une des deux options suivantes :
- Clé Pré-partagée — Secret partagé utilisé pour chiffrer et déchiffrer les données transitant via le tunnel.
- Certificat — Certificat IPSec du Firebox utilisé pour l'authentification du tunnel. Pour de plus amples informations, accédez à Certificats pour l'Authentification des Tunnels Branch Office VPN (BOVPN) dans l'Aide Fireware.
Ressources Réseau — Réseaux pouvant envoyer et recevoir du trafic via le tunnel.
Adresse IP Virtuelle — (Facultatif) Nécessaire si vous souhaitez :
Ajouter le BOVPN à une action SD-WAN.
Configurer un BOVPN à route zéro.
Répondre au trafic généré par le Firebox via le tunnel. Par exemple, DNS et DHCP, Dimension, Syslog, SNMP, NTP, l'authentification (Active Directory, LDAP et RADIUS) et d'autres connexions établies par le Firebox vers des ressources via le tunnel.
Paramètres de Sécurité — Paramètres d'authentification et de chiffrement de la négociation VPN.

BOVPN et Routage

Dans la configuration BOVPN, vous spécifiez les ressources réseau accessibles via le tunnel BOVPN. Les ressources sélectionnées d'un endpoint deviennent des routes statiques sur l'autre endpoint, avec le BOVPN en tant que passerelle. La distance (métrique) que vous spécifiez pour chaque ressource figure dans la table de routage. Le Firebox utilise la table de routage pour déterminer s'il doit transmettre le trafic via le tunnel BOVPN.

Il est impossible de spécifier les ressources réseau des deux endpoints au sein du même sous-réseau. Cela signifie qu'il est impossible de router le trafic via un tunnel BOVPN entre des réseaux privés employant la même plage d'adresses IP.

Pour un VPN entre un Firebox et un endpoint VPN géré localement ou par un tiers :

Les ressources réseau que vous spécifiez pour l'endpoint distant spécifient le trafic que le Firebox route via le tunnel. Ces routes deviennent des routes statiques sur le Firebox géré sur le cloud avec le BOVPN faisant office de passerelle.
Les ressources réseau que vous spécifiez pour le Firebox sont les ressources que vous souhaitez faire router par l'endpoint distant via le tunnel VPN vers le Firebox. Les ressources que vous spécifiez ici ne limitent pas le trafic que le Firebox accepte via le tunnel VPN. Afin que le Firebox puisse recevoir le trafic VPN vers ces ressources, l'endpoint distant doit être configuré de manière à router le trafic destiné à ces adresses IP via le tunnel.

Adresses IP Virtuelles

Une adresse IP virtuelle est une adresse IP non liée à une interface physique. Pour un BOVPN dans WatchGuard Cloud (une interface virtuelle BOVPN), une adresse IP virtuelle fait office de passerelle (saut suivant). L'adresse IP virtuelle est utilisée pour le trafic généré par le Firebox et le trafic de réponse transmis directement à l'interface virtuelle BOVPN.

Vous devez configurer l'adresse IP virtuelle dans les cas suivants :

Routage Dynamique

Vous pouvez utiliser une interface virtuelle BOVPN pour permettre au Firebox d'utiliser le routage dynamique pour trouver les routes vers les réseaux privés d'un Firebox pair via le tunnel VPN, ou sur un endpoint tiers via le tunnel VPN. Pour de plus amples informations, accédez à Interface Virtuelle BOVPN avec Routage Dynamique.

SD-WAN

Avant d'ajouter un BOVPN à une action SD-WAN, vous devez configurer le BOVPN avec une adresse IP virtuelle /32 pour les deux endpoints. La surveillance de liaison BOVPN est implicitement activée lorsque vous configurez des adresses IP hôtes /32 en tant qu'adresse IP virtuelle des deux endpoints. Un BOVPN dont la surveillance de liaison n'est pas activée (qui ne dispose pas d'adresses IP virtuelles /32 valides sur les deux endpoints) ne peut pas être sélectionné dans une action SD-WAN.

Pour plus d'informations sur SD-WAN, accédez à Configurer SD-WAN.

Routage Nul

Si vous ajoutez une ressource réseau BOVPN à route nulle (0.0.0.0/0), une route par défaut qui transmet l'ensemble du trafic réseau (y compris le trafic destiné à WatchGuard Cloud) via le tunnel VPN est créée. Pour un Firebox géré sur le cloud, vous devez saisir les adresses IP virtuelles dans la configuration BOVPN de manière à ce que le trafic de retour utilise le tunnel VPN.

Si vous ajoutez une ressource réseau BOVPN à route nulle et que l'endpoint VPN distant ne peut pas router le trafic du Firebox géré sur le cloud vers WatchGuard Cloud, il devient impossible de gérer ou surveiller le Firebox.

Trafic Généré par le Firebox

Le Firebox lui-même génère du trafic via le tunnel. Le trafic généré par le Firebox est également connu sous le nom de « trafic autogénéré ».

Vous devez saisir une adresse IP virtuelle /32 pour chaque endpoint afin que les réponses au trafic généré par le Firebox utilisent le tunnel VPN. Des exemples de trafic généré par le Firebox incluent le trafic DNS et DHCP, Dimension, Syslog, SNMP, NTP, l'authentification (Active Directory, LDAP et RADIUS) et d'autres connexions établies par le Firebox vers des ressources via le tunnel.

BOVPN et Déploiement Automatique

Lorsque vous ajoutez, modifiez ou supprimez un BOVPN, la configuration BOVPN est automatiquement déployée afin que le Firebox géré sur le cloud puisse la télécharger. Pour confirmer que le déploiement automatique contient uniquement des modifications de configuration BOVPN, il est impossible d'enregistrer les modifications BOVPN si le Firebox présente d'autres modifications de configuration non déployées.

Avant d'ajouter, modifier ou supprimer un BOVPN, confirmez que le Firebox ne présente pas de modification non déployée.

Ajouter un BOVPN

Pour ajouter un BOVPN au Firebox géré sur le cloud, à partir de WatchGuard Cloud :

Pour ouvrir la page BOVPN, utilisez l'une des méthodes suivantes :
- Pour gérer les BOVPN de tous les Fireboxes du compte actuellement sélectionné, sélectionnez Configurer > VPN.
- Pour gérer les BOVPN d'un Firebox spécifique, sur la page Configuration du Périphérique, cliquez sur la mosaïque Branch Office VPN.
Sur l'une des pages BOVPN, cliquez sur la mosaïque Branch Office VPN.
La page BOVPN indique les BOVPN actuellement configurés.

Screen shot of the BOVPN page with no BOVPNs added

Cliquez sur Ajouter un BOVPN.
La page Ajouter un BOVPN s'ouvre.
Dans la zone de texte Nom, saisissez un nom pour ce BOVPN.
Dans la liste déroulante Famille d'Adresses, sélectionnez Adresses IPv4 ou Adresses IPv6.
Si vous sélectionnez Adresses IPv6, l'autre endpoint BOVPN doit être configuré pour prendre en charge IPv6.
Sélectionnez le Firebox Géré Localement ou l'Endpoint VPN Tiers.
Le contenu de la section Endpoint B indiquant précédemment la liste des Fireboxes affiche désormais la zone de texte Nom de l'Endpoint.

Screen shot of the Add BOVPN page with Locally-Managed Firebox or third-party VPN endpoint selected

Dans la section Endpoint A, sélectionnez un Firebox géré sur le cloud de votre compte.
Si vous avez ajouté le BOVPN à partir d'une page de Configuration du Périphérique, la liste Endpoint A ne contient qu'un seul Firebox.
Dans la section Endpoint B, dans la zone de texte Nom de l'Endpoint, saisissez un nom permettant d'identifier l'endpoint VPN distant.
La configuration BOVPN utilise ce nom pour désigner l'Endpoint B.

Screenshot of the Define VPN endpoints settings, with a local and remote VPN endpoint specified

Cliquez sur Suivant.
La page des paramètres des Gateways VPN s'ouvre.

Screen shot of the VPN Gateways and Pre-shared key settings

Pour utiliser un certificat IPSec Firebox pour cette connexion VPN, sélectionnez Utiliser le Certificat IPSec du Firebox. Pour utiliser plutôt une clé pré-partagée, passez à l'Étape 11.
La liste de certificats s'affiche.

Screenshot of the IPSec certificate option in the Add a BOVPN Wizard

Sélectionnez un certificat.
Pour le Firebox géré sur le cloud, sélectionnez un réseau externe.
Pour ce réseau externe, spécifiez l'adresse IP dans la liste déroulante. Sélectionnez le nom x500, le nom de domaine ou l'adresse IP. Les options disponibles dépendent de la configuration du certificat.
Pour les réseaux dont l'adresse IP est configurée en DHCP ou PPPoE, l'adresse IP par défaut est Tout (Dynamique).
Pour l'endpoint distant :
- Dans la liste déroulante Adresse IP, sélectionnez ou saisissez une adresse IP.
- Dans la zone de texte Identifiant de l'Endpoint, saisissez un nom x500, un nom de domaine ou une adresse IP résolvant vers l'adresse IP de l'endpoint distant.

Cliquez sur Suivant.

Pour utiliser une clé pré-partagée pour cette connexion, pour le Firebox géré sur le cloud, sélectionnez un réseau externe.
1. Spécifiez l'adresse IP ou un nom de domaine résolu en tant que l'adresse IP du réseau externe du Firebox.
2. Pour l'endpoint distant, dans la zone de texte IP ou Nom de Domaine, saisissez une adresse IP ou un nom de domaine résolu en tant que l'adresse IP de l'endpoint distant.
3. Dans la zone de texte Clé pré-partagée, saisissez la clé pré-partagée pour sécuriser ce tunnel VPN.
4. Cliquez sur Suivant.

Screen shot of the Traffic settings

Sélectionnez les réseaux internes et invités du Firebox pour lesquels vous souhaitez octroyer l'accès via le tunnel VPN.
Pour ajouter une ressource réseau autre que les réseaux internes ou invités :
1. Dans la section des ressources Firebox, cliquez sur Ajouter une Ressource Réseau.
1. Dans la zone de texte Ressource Réseau, saisissez l'adresse IP du réseau et le masque de réseau.Astuce !
2. Dans la zone de texte Distance, saisissez une valeur comprise entre 1 et 254. Les routes avec métriques faibles ont la priorité la plus élevée. La valeur par défaut est 1. Dans Fireware v12.9 ou les versions ultérieures, le paramètre Distance remplace le paramètre Métrique.
3. Cliquez sur Ajouter.
  La ressource réseau est ajoutée aux paramètres de Trafic de l'endpoint.
Ajouter une ressource réseau pour l'endpoint distant
1. : Dans la section du deuxième point d'endpoint, cliquez sur Ajouter une ressource Réseau.
1. Dans la zone de texte Ressource Réseau, saisissez l'adresse IP du réseau et le masque de réseau.
2. Dans la zone de texte Distance, saisissez une valeur comprise entre 1 et 254. Les routes avec métriques faibles ont la priorité la plus élevée. La valeur par défaut est 1. Dans Fireware v12.9 ou les versions ultérieures, le paramètre Distance remplace le paramètre Métrique.
3. Cliquez sur Ajouter.
  La ressource réseau est ajoutée aux paramètres de Trafic de l'endpoint.
Répétez l'étape précédente pour ajouter d'autres ressources réseau.
(Facultatif) Pour chaque endpoint, dans la zone de texte Adresse IP Virtuelle, saisissez une adresse IP. Une adresse IP virtuelle est une adresse IP non liée à une interface physique. Pour un BOVPN dans WatchGuard Cloud (une interface virtuelle BOVPN), une adresse IP virtuelle fait office de passerelle (saut suivant). L'adresse IP virtuelle est utilisée pour le trafic de réponse transmis directement à l'interface virtuelle BOVPN.

Des adresses IP virtuelles sont nécessaires dans certains cas :

Vous devez utiliser les adresses IP des interfaces virtuelles BOVPN lorsque vous utilisez le Routage Dynamique.
Avant de pouvoir ajouter ce BOVPN à une action SD-WAN, vous devez spécifier des adresses IP virtuelles avec un masque de réseau /32.
Si vous configurez un BOVPN à route zéro, vous devez saisir des adresses IP virtuelles de sorte que le trafic de retour utilise le tunnel VPN. Si vous ajoutez une ressource réseau BOVPN à route nulle et que l'endpoint VPN distant ne peut pas router le trafic du Firebox géré sur le cloud vers WatchGuard Cloud, il devient impossible de gérer ou surveiller le Firebox.
Pour le trafic généré par le Firebox, des adresses IP virtuelles sont nécessaires de manière à ce que le trafic de réponse utilise le tunnel VPN. Des exemples de trafic généré par le Firebox incluent le trafic DNS et DHCP, Dimension, Syslog, SNMP, NTP, l'authentification (Active Directory, LDAP et RADIUS) et d'autres connexions établies par le Firebox vers des ressources via le tunnel.

Screen shot of the virtual IP address settings

Cliquez sur Suivant.
La page paramètres de Sécurité s'ouvre.

Screen shot of the default security settings

Acceptez les paramètres de sécurité par défaut ou modifiez-les afin de refléter les paramètres pris en charge par l'endpoint VPN distant. Pour obtenir des informations, accédez à Configurer les Paramètres de Sécurité BOVPN.
Cliquez sur Ajouter.
Le déploiement BOVPN est ajouté et la page Guide BOVPN s'ouvre.

Screen shot of the last page of the Add BOVPN wizard, with the View Guide link

Pour ouvrir le Guide BOVPN dans un nouvel onglet de navigateur, cliquez sur Afficher le Guide.
Le Guide BOVPN s'ouvre dans un nouvel onglet de navigateur. Vous pouvez imprimer cette page ou l'enregistrer au format PDF.
Pour revenir à la liste BOVPN, cliquez sur Terminer.

Afficher le Guide BOVPN

Pour chaque BOVPN, WatchGuard Cloud génère un Guide VPN offrant une synthèse des paramètres de configuration VPN exigés par l'endpoint VPN distant. Vous pouvez consulter le Guide BOVPN sur la page Modifier le BOVPN. Pour de plus amples informations, accédez à Afficher le Guide BOVPN.

Configurer l'Endpoint VPN Distant

Sur l'endpoint VPN distant, ajoutez un VPN IKEv2 dont les paramètres correspondent aux paramètres VPN du Firebox géré sur le cloud. Pour de plus amples informations, accédez à Configurer les Paramètres de l'Endpoint VPN Distant sur un Firebox Géré Localement ou un Endpoint VPN Tiers.

Modifier ou Supprimer un BOVPN

Vous pouvez modifier ou supprimer un BOVPN sur la page BOVPN. Pour obtenir des informations, accédez à Gérer les BOVPN des Fireboxes Gérés sur le Cloud.

Rubriques Connexes

Gérer le Déploiement de la Configuration du Périphérique

Configurer un Réseau Interne ou Invité d'un Firebox

Gérer les Certificats

© 2024 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.