Configuration des passerelles dans DynFi Firewall

Principes généraux de fonctionnement des passerelles

Une passerelle est un dispositif qui permet de relier deux réseaux informatiques de types différents entre eux, par exemple un réseau local et le réseau Internet via une passerelle. Par défaut ces informations se configurent au sein de DynFi Firewall dans : Système -> Passerelles -> Unique

DynFi Firewall va jouer ce rôle de passerelle et ainsi permettre :

  • d’assurer le rôle de passerelle par défaut sur votre LAN et éventuellement sur les autes réseau gérés au niveau de votre pare-feu
    • de relier entre eux deux réseaux connectés (par exemple : Internet et votre réseau local)

    • de relier des réseaux via une autre passerelle (par exemple : votre réseau local et un autre réseau connecté via un routeur disposant d’une interface sur l’un de vos réseaux)

Les passerelles au sein de DynFi Firewall peuvent se configurer de façon statique ou dynamiquement (par exemple lorsque vous activez le service DHCP ou PPPoE sur une interface). Une passerelle auto-configurée de façon dynamique est créée et peut être éventuellement modifiée.

Note

Les passerelles dynamiques ne peuvent pas être détruites. En la supprimant (action corbeille sur la page des passerelles) les paramètres personnalisés sont supprimés et la passerelle revient à sa valeur par défaut.

Warning

Les principes du routage IPv4 et IPv6 sont assez similaires, cependant chaque protocole doit faire l’objet d’un traitement spécifique et il n’est pas possible de mélanger des passerelles IPv4 et IPv6 ensemble.

Configuration d’une passerelle unique au sein de DynFi Firewall

Les principes fondamentaux

Il n’y a qu’une seule passerelle par défaut pour chaque protocole (IPv4 et IPv6). Il existe des passerelles dites amont` qui permet de définir une évaluation prioritaire de ce type de passerelles et permette leur sélection comme passerelle par défaut.

Chaque passerelle est associée à une interface et dispose d’une priorité définie de 1 à 255. Les passerelles disposant d’une priorité plus basse (1 par exemple) sont utilisées en priorité. Toute passerelle nouvellement créée se vera attribuer une priorité par défaut de 1.

Pour chaque passerelle il est possible d’activer un système de supervision basé sur dpinger qui permet de tester certains paramèttres tels que :

  • les seuils de latence`

  • les seuils de perte de paquets

Si une passerelle dépasse le niveau fixé dans les paramètres, elle passera en altere. Dans la section Configuration d’un groupe de passerelles au sein de DynFi Firewall nous verrons comment permettre, en utilisant la supervision de passerelle, le basculement d’une passerelle à une autre en cas de défaillance ou de problème.

Note

L’évaluation des passerelles se fait en priorité pour les passerelles de type amont et ensuite sur la valeur du champ priorité

DynFi Firewall illustration pour la configuration des passerelles et du routage

Configuration de la passerelle

Vous êtes sur la page Système -> Passerelles -> Unique

Afin de créer ou d’éditer une passerelle, procédez comme suit :

  1. en haut à droit cliquez sur le +

  2. alternativement cliquez sur une des passerelles existantes et cliquez sur crayon pour éditer

  3. vous rentrez dans le mode d’édition de la passerelle

DynFi Firewall édition d'une passerelle

Items

Informations

Désactivé

Permet de désactiver complètement la passerelle

Nom

Nom de la passerelle

Description

Description de la passerelle - sans incidence sur la configuration

Interface

Choix de l’interface sur laquelle la passerelle sera activée

Famille d’adresse

Choix du type de famille IP (v.4 ou v.6)

Adresse IP

Au choix l’IP de la passerelle ou passerelle dynamique champ vide | dynamic

Passerelle amont

Défini cette passerelle comme passerelle par défaut

Passerelle étendue.

Permet de définir une interface en dehors du sous-réseau de l’interface

Désactiver la surveillance + Désactive la surveillance de la passerelle

IP Moniteur

Défini une IP de surveillance qui doit toujours être dispo depuis la passerelle

Passerelle HS

Défini cette passerelle comme inactive

Priorité

Permet de définir la priorité de la passerelle (1 : le + élevé | 255 : le - élevé)

Configuration d’un groupe de passerelles au sein de DynFi Firewall

L’objectif de cette section est de vous éclairer sur la façon dont il est possible de travailler avec plusieurs passerelles. En effet, DynFi Firewall permet d’utiliser du multi-WAN et déclenche automatiquement le passage d’une passerelle à une autre, permettant ainsi de faire du load-balancing ou du fail-over.

Le multi-WAN avec DynFi firewall - load-balancing et fail-over

Note

Les paramètres avancés de la configuration de vos passerelles permettent de spécifier des options spécifiques de supervision et ainsi de déclencher le passage d’une passerelle à une autre si besoin est. Pour pouvoir fonctionner ces paramètres doivent être couplés avec une règle de pare-feu qui activera l’utilisation de votre groupe de passerelle.

Eléments de la configuration avancée des passerelles

Certains des éléments présentés ci-dessous permettent de définir des niveaux d’alerte(s) qui sont utilisés pour définir l’état de vos passerelles.

  • Si le niveau minimum défini pour les seuil de latence ou seuil de perte de paquets est dépassé, la passerelle passera en alerte.

  • Si le niveau maximum défini pour les seuil de latence ou seuil de perte de paquets est dépassé, la passerelle passera en inactive.

Les tests sont effectués en envoyant des pings vers l’IP Moniteur définie dans la première partie de la configuration.

Items

Informations

Poids

Poids de la passerelle lorsqu’elle est utilisée dans un groupe de passerelles

Seuil de latence

Seuils minimum et maximum de latence exprimés en ms

Seuils perte paquets

Seuils minimum et maximum représentant la perte des paquets exprimés en %

Intervalle de la sonde + Fréquence en seconde à laquelle une mesure ICMP (ping) sera envoyée

Intervalle d’alerte

Intervalle de temps entre les alertes (en seconde)

Période de temps

La période sur laquelle on fait la moyenne des résultats

Intervalle de perte

Intervalle de temps avant que les paquets ne soient considérés comme perdus

Longueur des données

Permet de pécifier le nombre d’octets de données à envoyer (à priori 0)

Une fois vos configurations appliquées vous disposerez d’indicateurs visuels pour chacune de vos passerelles.

Le multi-WAN avec DynFi Firewall - notification au niveau des passerelles