Comment autoriser un trafic spécifique via le service de pare-feu QuWAN ?

Produits applicables

QuWAN Orchestrator

Détails

Cette FAQ traite des méthodes courantes de configuration du pare-feu pour les paramètres correspondants lorsque la connexion VPN maillée échoue :

Meilleures pratiques

Pour une procédure détaillée de création ou de modification d’une règle de pare-feu, voir Paramètres du pare-feu dans la section Aide Web de QuWAN et de QuWAN Orchestrator.

1. Déconnecté de QuWAN Orchestrator

Problème : vous ne pouvez pas vous connecter à l’interface de gestion de QuWAN Orchestrator.

Solution : assurez-vous que le pare-feu autorise la communication sur le port 8883 (TCP) avec le QuWAN Orchestrator en utilisant la configuration suivante.

• Source : cliquez sur Définir pour spécifier l’adresse IP ou le sous-réseau du QuWAN Orchestrator.
• Protocole : TCP
• Ports source : 8883
• Destination : n’importe laquelle
• Action : autoriser

2. Déconnecté du serveur VPN QuWAN QBelt

Problème : vous ne pouvez pas établir de connexion VPN avec le serveur VPN QuWAN QBelt.

Solution : assurez-vous que le pare-feu autorise la communication avec le QuWAN Orchestrator en utilisant les règles configurées suivantes.

1. Règle 1 (trafic entrant) :
   • Source : cliquez sur Définir pour spécifier la connexion source
   • Protocole : UDP
   • Ports source : 5533
   • Destination : n’importe laquelle
   • Action : autoriser
2. Règle 2 (trafic sortant) :
   • Source : cliquez sur Définir pour spécifier les détails de l’appareil distant
   • Protocole : UDP
   • Ports source : n’importe laquelle
   • Destination : 5533
   • Action : autoriser

3. Trafic intersite VPN maillé bloqué

Problème : Le transfert de données intersite VPN maillé site à site est bloqué.

Solution : Pour s’assurer que le trafic utilisé par le service VPN maillé peut passer à travers le pare-feu, créez deux règles de pare-feu autorisant les ports UDP nécessaires.

1. Règle 1 (trafic entrant) :
   • Source : cliquez sur Définir pour spécifier la connexion source
   • Protocole : UDP
   • Ports source : 500, 4500 (voir la page Gestion des services pour déterminer si d’autres ports IPSec NAT Traversal sont nécessaires), 5555, 7788
   • Destination : n’importe laquelle
   • Action : autoriser
2. Règle 2 (trafic sortant) :
   • Source : n’importe laquelle
   • Protocole : UDP
   • Ports source : n’importe laquelle
   • Destination : 500, 4500 (voir la page Gestion des services pour déterminer si d’autres ports IPSec NAT Traversal sont nécessaires), 5555, 7788
   • Action : autoriser

4. Échec des demandes de ping provenant des périphériques du réseau local

Problème : vous ne pouvez pas faire de ping sur Internet à partir de vos périphériques LAN. 

Solution : assurez-vous que la règle du pare-feu autorise le trafic ICMP de votre réseau LAN vers Internet.

• Destination : cliquez sur Définir pour spécifier l’adresse de la passerelle Internet.
• Protocole : ICMP
• Source : tous (autorise le trafic en provenance de n’importe quel appareil de votre réseau local)
• Destination : votre sous-réseau LAN (par exemple, 192.168.60.1/24)
• Action : autoriser

Notes complémentaires

• Remplacez le sous-réseau LAN 192.168.60.1/24 par votre adresse de sous-réseau LAN actuelle.
• Le port IPSec NAT Traversal dépend du rôle du dispositif QuWAN :
  • Hub : le numéro du port par défaut est 4500. Ajoutez ce port à la liste des ports sources dans la règle 2 (sortie), le cas échéant.
  • Edge : utilise un numéro de port aléatoire compris entre 61001 et 61999. Autoriser tous les ports de cette plage pour le trafic source de l’interface WAN dans la règle 2 (sortant) si nécessaire.