Paramétrer le firewall FWB2
La configuration du firewall FWB2 est symétrique à celle réalisée pour le firewall FWA2.
EEn suivant la méthode décrite pour le firewall FWA1, procédez aux paramétrages suivants :
Créer une interface virtuelle IPsec
- Nom : FWB2_FWA2_VTI dans l'exemple,
- Adresse IP : 192.168.102.2 dans l'exemple,
- Masque : 255.255.255.252 dans l'exemple.
Définir une route vers le réseau distant
Bien que dans cette configuration le firewall effectue du routage au sein de la politique de filtrage (Policy Based Routing), il est nécessaire de définir une route par défaut ou une route statique explicite vers le réseau distant.
En effet, la première action effectuée par le firewall est de vérifier qu'il dispose d'une route vers le site distant avant de consulter sa politique de filtrage. L'absence de cette route provoquerait donc un rejet des paquets.
Définir les routes de retour
En suivant la méthode décrite pour le firewall FWA1, créez 2 routes permettant d'acheminer les paquets retour vers le firewall d'origine grâce à l'adresse MAC source.
Route de retour vers le firewall FWA2
- Passerelle : créez l'objet réseau correspondant à l'interface virtuelle IPsec du firewall 2 du site A (FWB2_FWA2_VTI_GW ayant pour adresse IP 192.168.102.1 dans l'exemple),
- Interface : sélectionnez l'interface virtuelle locale définie pour le tunnel IPsec entre les firewalls 2 des sites B et A (FWB2_FWA2_VTI dans l'exemple).
Activez la route par un double clic dans la colonne État.
Route de retour vers le firewall FWB1
- Passerelle : créez l'objet réseau correspondant au firewall 1 du site B (FWB1 dans l'exemple),
NOTE
L'adresse MAC du firewall FWB1 doit impérativement être déclarée dans cet objet réseau.
- Interface : sélectionnez l'interface du firewall FWB2 par laquelle les paquets retour seront acheminés vers le firewall FWB1 (In dans l'exemple).
Activez la route par un double clic dans la colonne État.
Mettre en œuvre la règle de filtrage
- Action : Passer,
- Machines sources : LAN_Site_A dans l'exemple,
- Machines destinations : LAN_Site_B dans l'exemple,
- Port destination : Any dans l'exemple.
Mettre en œuvre la politique IPsec
- Correspondant : créez un objet correspondant à l'adresse IP publique du firewall FWA2,
- Réseau local : sélectionnez l'objet correspondant à l'interface virtuelle IPsec locale (Firewall_FWB2_FWA2_VTI dans l'exemple),
- Réseau distant : sélectionnez l'objet correspondant à l'interface virtuelle IPsec distante(FWB2_FWA2_VTI_GW dans l'exemple).