Configurer le firewall FW-LILLE

Suivez toutes les étapes de configuration du firewall de LILLE décrites dans la section Configurer le firewall FW-LILLE de l'exemple traitant des tunnels IPsec basés sur des interfaces IPsec virtuelles (VTI).

Comme indiqué en tête de la présente section, l'option de redondance est impérative lors de la création de l'objet routeur utilisé dans la route vers le LAN du site de PARIS.

Les paragraphes suivants présentent les configurations spécifiques au cas du Hub & Spoke.

Utiliser l'objet routeur dans le routage pour joindre le LAN du site de PARIS

Option de la route par défaut

  1. Placez-vous dans le menu Configuration > Réseau > Routage.
  2. Dans le champ Passerelle par défaut, sélectionnez l'objet routeur précédemment créé.
  3. Cliquez sur Appliquer puis Sauvegarder.

Option du routage statique

  1. Placez-vous dans le menu Configuration > Réseau > Routage > onglet Routage statique.
  2. Cliquez sur Ajouter.
  3. Passez l'État de la route de retour à Activée.
  4. Pour le Réseau de destination, sélectionnez l'objet correspondant au LAN du site de PARIS (PAR-LAN dans cet exemple).
  5. Ne sélectionnez pas d'Interface.
  6. Pour la passerelle devant être utilisée pour cette route, sélectionnez l'objet routeur précédemment créé.
  7. Cliquez sur Appliquer.

Option du routage par politique (PBR - Policy Based Routing)

  1. Placez-vous dans le menu Configuration > Politique de sécurité > Filtrage et NAT > onglet Filtrage.
  2. Cliquez sur Nouvelle règleRègle simple.
  3. Double-cliquez dans l'une des colonnes de cette règle.
  4. Menu de gauche Général : passez l'État de la règle à On.
  5. Menu de gauche Action, onglet Général :
    1. Cadre Général : positionnez l'Action à passer.
    2. Cadre Routage : sélectionnez l'objet routeur précédemment créé.
  6. Menu de gauche Source : sélectionnez l'objet correspondant au réseau local du site de LILLE (LIL-LAN dans cet exemple).
  7. Menu de gauche Destination : sélectionnez l'objet correspondant au réseau local du site de PARIS (PAR-LAN dans cet exemple).
  8. Menu de gauche Port / Protocole : ajoutez à la grille des Ports destination les différents objets correspondant aux ports à autoriser dans cette règle de filtrage.
  9. Menu de gauche Inspection : il est conseillé de laisser le Niveau d'inspection proposé par défaut, IPS.
  10. Cliquez sur OK.
  11. Cliquez sur Appliquer.

Créer les règles de translation d'adresses (NAT) pour les flux à destination d'Internet

  1. Placez-vous dans le menu Configuration > Politique de sécurité > Filtrage et NAT > onglet NAT.

Premier accès WAN de LILLE

  1. Cliquez sur Nouvelle règleRègle simple.
  2. Double-cliquez dans l'une des colonnes de cette règle.
  3. Menu de gauche Général : passez l'État de la règle à On.
  4. Menu de gauche Source originale, grille des Machines sources : double-cliquez sur l'objet Any et remplacez-le par l'objet correspondant au réseau LAN de PARIS (PAR-LAN dans cet exemple).
  5. Menu de gauche Destination originale :
    1. Dans l'onglet Général, grille des Machines destinations : double-cliquez sur l'objet Any et remplacez-le par l'objet Internet.
    2. Dans l'onglet Configuration avancée, champ Interface de sortie : sélectionnez l'objet correspondant à la première interface WAN de LILLE (WAN-1 dans l'exemple).
  6. Menu de gauche Source translatée :
    1. Champ Machine source translatée : sélectionnez l'objet correspondant à la première adresse IP publique du firewall (Firewall_WAN-1 dans cet exemple).
    2. Champ Port source translaté : sélectionnez l'objet ephemeral_fw.
    3. Cochez la case Choisir aléatoirement le port source translaté.
  7. Menu de gauche Options : cochez la case NAT dans le tunnel IPsec (avant chiffrement, après déchiffrement).
  8. Cliquez sur OK.

Répétez les étapes 2 à 9 pour créer les règles de NAT correspondant aux deux autres accès WAN du site de LILLE avec les objets suivants :

Deuxième accès WAN de LILLE

Champ Valeur
Source originale - Machines destination PAR-LAN
Destination originale - Machines destination Internet
Destination originale - Interface de sortie WAN-2
Source translatée - Machine source translatée Firewall_WAN2

Troisième accès WAN de LILLE

Champ Valeur
Source originale - Machines destination PAR-LAN
Destination originale - Machines destination Internet
Destination originale - Interface de sortie WAN-3
Source translatée - Machine source translatée Firewall_WAN3

Les règles de translation d'adresses sur le firewall de LILLE prennent donc la forme suivante :