Publicité
Réseaux BOVPN (Branch Office Virtual Private Network)
Pour modifier la configuration de phase 1 :
1. Sélectionnez le mode de négociation dans la liste déroulante Mode. Vous ne pouvez utiliser le mode
principal que si les deux périphériques possèdent des adresses IP statiques. Si l'un des périphériques
ou les deux possèdent des adresses IP externes qui sont attribuées dynamiquement, vous devez
utiliser le mode agressif.
2. Entrez l'ID local et l'ID distant. Sélectionnez les types d'ID dans les listes déroulantes : Adresse IP ou
Nom de domaine. Assurez-vous que cette configuration est la même que celle du périphérique
distant.
Notez que le type d'ID local et le type d'ID distant sont inversés sur l'autre périphérique.
o Si le périphérique Firebox X Edge ou le périphérique VPN distant possède une adresse IP
externe statique, définissez le type d'ID local sur Adresse IP. Tapez l'adresse IP externe du
périphérique Edge ou du périphérique distant en tant qu'ID local.
o Si le périphérique Firebox X Edge ou le périphérique VPN distant possède une adresse IP
externe dynamique, vous devez sélectionner Mode agressif et le périphérique doit utiliser le
DNS dynamique. Pour plus d'informations, voir
le type d'ID local sur Nom de domaine. Entrez le nom de domaine DynDNS du périphérique en
tant qu'ID local.
3. Sélectionnez le type d'authentification dans la liste déroulante Algorithme d'authentification. Les
options proposées sont MD5-HMAC (authentification 128 bits) ou SHA1-HMAC (authentification
160 bits). SHA1-HMAC est la plus sécurisée des deux.
4. Dans la liste déroulante Algorithme de chiffrement, sélectionnez le type de chiffrement. Les options
proposées, de la moins sécurisée à la plus sécurisée, sont DES-CBC, 3DES-CBC, AES (128 bits),
AES (192 bits) et AES (256 bits).
5. Tapez le nombre de kilo-octets et le nombre d'heures avant l'expiration de la négociation IKE. Pour que
la négociation n'expire jamais, entrez zéro (0). Par exemple, 24 heures et zéro (0) kilo-octet signifient
que la clé de phase 1 est négociée toutes les 24 heures quel que soit le volume de données transmis.
6. Sélectionnez le numéro de groupe dans la liste déroulante Groupe Diffie-Hellman. Edge prend en
charge les groupes Diffie-Hellman 1, 2 et 5. Les groupes Diffie-Hellman permettent de négocier en
toute sécurité des clés secrètes sur un réseau public. Les groupes Diffie-Hellman 2 et 5 utilisent de plus
grands modules de clés et sont plus sécurisés, mais ils demandent plus de temps processeur. Chaque
côté du tunnel VPN doit utiliser le même groupe Diffie-Hellman.
7. Activez la case à cocher Envoyer des messages de conservation d'activité IKE pour savoir si le
tunnel fonctionne ou pas. Lorsque cette case à cocher est activée, Edge envoie des paquets courts
à travers le tunnel à intervalles réguliers. Cela permet aux deux périphériques de savoir si le tunnel
fonctionne bien. Si les paquets de conservation d'activité ne reçoivent aucune réponse au bout de trois
tentatives, Firebox X Edge redémarre le tunnel.
8. Activez la case à cocher Activer la détection DPD pour vérifier l'état de la passerelle distante lorsque
vous voulez utiliser le basculement VPN. Pendant une vérification DPD, Firebox exécute la commande
ping sur la passerelle distante et attend une réponse. S'il n'y en a pas, le basculement VPN a lieu et
Firebox utilise la prochaine passerelle distante disponible. Vous pouvez configurer le délai d'attente de
la commande ping en secondes et le nombre maximal de tentatives.
266
Si l'interface externe de Firebox X Edge possède une adresse IP privée au lieu d'une adresse IP
publique, votre fournisseur de services Internet ou le périphérique d'accès à Internet qui est
connecté à l'interface externe (modem ou routeur) d'Edge assure la traduction d'adresses réseau
(NAT). Consultez la rubrique
Si votre système Edge se trouve derrière un périphérique NAT
l'interface externe de votre périphérique Edge possède une adresse IP privée.
À propos du service DNS
dynamique. Définissez
Firebox X Edge e-Series
si
Publicité
