Projet Networking TNE

Configuration des Pare-feu Zyxel (Device HA Pro)

6 min de lecture

Phase 1 : Configuration des Pare-feu Zyxel (Device HA Pro)

1. Objectif de ce Document

Ce document guide à travers la configuration de notre paire de pare-feu Zyxel USG 200. Les objectifs sont multiples et critiques :

  1. Établir le routage inter-VLANs pour permettre aux différents segments du réseau de communiquer (de manière contrôlée).
  2. Configurer l’accès à Internet (via NAT).
  3. Mettre en place la Haute Disponibilité (Device HA Pro) pour qu’une panne sur un équipement n’entraîne pas une coupure totale du réseau.
  4. Définir les règles de sécurité de base.

2. Le “Pourquoi” : L’Analogie du Pilote et du Co-pilote

Un pare-feu unique, c’est comme un avion avec un seul pilote. S’il a un problème, l’avion s’écrase. Pour une infrastructure critique, c’est inacceptable. C’est pourquoi nous utilisons la fonction Device HA Pro.

  • Le Pare-feu Actif : C’est le pilote. Il gère 100% du trafic réseau, prend toutes les décisions de routage et de sécurité.
  • Le Pare-feu Passif : C’est le co-pilote. Il ne touche pas aux commandes, mais il observe en permanence tout ce que fait le pilote. Il reçoit une copie de toutes les configurations et de l’état des connexions en temps réel.
  • Le Lien “Heartbeat” (Coup de Cœur) : C’est la communication radio constante entre le pilote et le co-pilote. C’est un câble dédié qui relie les deux pare-feu. Si le co-pilote n’entend plus le “battement de cœur” du pilote, il en déduit que ce dernier a un problème et prend les commandes instantanément.

Ce mécanisme assure une bascule transparente (ou presque) en cas de panne matérielle, de mise à jour ou de maintenance. C’est un pilier de la continuité d’activité.

3. Prérequis

  • Les deux pare-feu Zyxel USG 200.
  • Accès physique pour le câblage.
  • Avoir défini une adresse IP virtuelle pour le cluster dans chaque VLAN. Par convention, nous prendrons la .253 (ex: 10.0.40.253) tandis que la .254 reste la passerelle officielle.
  • Accès à l’interface web d’administration (via l’IP par défaut 192.168.1.1 pour la configuration initiale).

4. Procédure Pas-à-Pas

Étape 1 : Câblage pour la Haute Disponibilité

  1. Lien Heartbeat : Connectez un câble Ethernet directement entre les deux pare-feu sur un port dédié (ex: le port P4 sur les deux équipements). C’est le lien le plus important de la configuration.
  2. Liens LAN : Connectez le port P1 (LAN1) de chaque pare-feu à un switch “Core”. Idéalement, à deux switches différents pour une redondance complète, mais au même switch si un seul est disponible. Ce port sera configuré en Trunk pour “parler” à tous nos VLANs.
  3. Liens WAN : Connectez le port P0 (WAN) de chaque pare-feu au modem/routeur de votre fournisseur d’accès à Internet.

Étape 2 : Configuration du Pare-feu Principal (Futur “Actif”)

  1. Connectez votre PC au port P1 du premier pare-feu et accédez à son interface web via 192.168.1.1.
  2. Changer le mot de passe admin (Étape de sécurité non négociable !).
  3. Configuration des Interfaces VLAN :
    • Allez dans Configuration > Network > Interface > VLAN.
    • Créez une nouvelle interface VLAN pour chaque VLAN de notre plan qui a besoin de routage (10, 20, 40, 50, 60, 70, 200).
    • Exemple pour le VLAN 40 (CLIENTS_BTS) :
      • Nom : VLAN40_BTS
      • Zone : LAN1
      • Base Port : P1 (le port physique connecté au switch)
      • VLAN ID : 40
      • Adresse IP : 10.0.40.254 / 255.255.255.0
    • Répétez l’opération pour tous les autres VLANs en adaptant l’ID et l’adresse IP.

Étape 3 : Activation du “Device HA Pro”

  1. Allez dans Configuration > Device HA.
  2. Cochez “Enable Device HA Pro”.
  3. Mode : Laissez “Active-Passive Mode”.
  4. Configuration du cluster :
    • Device Role : Active
    • Management IP : Choisissez une IP pour gérer le cluster, par ex. 10.0.10.253.
  5. Heartbeat Interface :
    • Sélectionnez l’interface du lien heartbeat (P4).
    • Configurez une IP pour ce lien privé (ex: 192.168.250.1).
  6. Synchronisation : Cochez les cases pour synchroniser la configuration.
  7. Appliquez la configuration. Le pare-feu va redémarrer.

Étape 4 : Configuration du Pare-feu Secondaire (Futur “Passif”)

  1. Réinitialisation d’usine : Assurez-vous que le second pare-feu est bien en configuration d’usine.
  2. Accédez à son interface web (192.168.1.1).
  3. Allez directement dans Configuration > Device HA.
  4. Cochez “Enable Device HA Pro”.
  5. Device Role : Passive
  6. Heartbeat Interface :
    • Sélectionnez le même port (P4).
    • Configurez l’IP du voisin sur le même réseau privé (ex: 192.168.250.2).
  7. Appliquez. Le pare-feu va redémarrer et commencer à se synchroniser avec l’équipement Actif. Après quelques minutes, l’interface du Passif deviendra inaccessible (c’est normal) et tout sera géré depuis l’IP du cluster (10.0.10.253).

Étape 5 : Règles de Pare-feu de Base

Dans l’interface du pare-feu Actif :

  1. Allez dans Configuration > Security Policy > Policy Control.
  2. La règle implicite est deny all. Nous devons créer des règles pour autoriser le trafic légitime.
  3. Exemple de Règle 1 (Autoriser Internet) :
    • Name : Allow_All_LAN_to_WAN
    • From : LAN1 (la zone regroupant tous nos VLANs)
    • To : WAN
    • Source : Any
    • Destination : Any
    • Service : Any
    • Action : allow
  4. Exemple de Règle 2 (Autoriser le Monitoring) :
    • Name : Allow_Zabbix_to_LAN
    • From : LAN1
    • To : LAN1
    • Source : Adresse IP du serveur Zabbix (10.0.20.X)
    • Destination : Any
    • Service : ICMP, Zabbix_Agent (un objet service que vous pouvez créer pour le port TCP 10050)
    • Action : allow

La Sécurité d'Abord

Par défaut, tout le trafic entre les VLANs est bloqué. C’est le comportement souhaité. Vous devez créer des règles explicites pour autoriser uniquement les flux nécessaires (ex: les clients vers les serveurs, mais pas les clients BTS vers les clients MELEC).

5. Points de Validation

  • Valider le HA : Dans le tableau de bord du pare-feu Actif, le widget “Device HA Pro” doit indiquer que le cluster est formé et que l’autre équipement est bien en mode “Passive”.
  • Tester la bascule : Débranchez le câble d’alimentation du pare-feu Actif. Lancez un ping continu depuis un PC client vers sa passerelle (10.0.40.254). Vous devriez perdre quelques paquets (5-10 secondes) puis le ping devrait reprendre. C’est la preuve que le Passif a pris le relais.
  • Valider le routage : Depuis un PC client, vous devez pouvoir ping sa passerelle et ping 8.8.8.8 (Google DNS) pour valider l’accès Internet.
  • Valider la sécurité : Depuis un PC du VLAN 40, essayez de ping la passerelle du VLAN 50 (10.0.50.254). Le ping doit échouer, prouvant que l’isolation par défaut fonctionne.

Étape suivante : Maintenant que le routage est en place, nous pouvons configurer le service qui va distribuer automatiquement les adresses IP aux clients : la Configuration du Service DHCP.

Vue Graphique

Liens retour