Rubriques Connexes
Utiliser Mobile VPN with IPSec avec des Groupes Active Directory
Bon nombre d'entreprises souhaitent autoriser différents niveaux d'accès aux ressources des réseaux internes en fonction des différents groupes d'utilisateurs distants. Pour restreindre l'accès au réseau à des utilisateurs ou à des groupes spécifiques, vous devez dans un premier temps paramétrer l'authentification des utilisateurs. Vous pourrez ensuite définir différents profils Mobile VPN with IPSec pour chaque groupe d'utilisateurs. Cet exemple montre les étapes de configuration des profils Mobile VPN with IPSec pour les différents groupes définis sur un serveur Active Directory.
À un niveau élevé, ces étapes sont :
- Activer et configurer l'authentification Active Directory.
- Créer les Profils des Groupes Mobile VPN with IPSec correspondant aux noms des groupes présents sur le serveur Active Directory.
Exemple
Pour vous montrer comment définir cette configuration, nous utiliserons à titre d'exemple une école ayant pris la décision d'avoir trois niveaux d'accès Internet, un pour chaque groupe suivant :
- Élèves (plus de restrictions d'accès)
- Professeurs (moins de restrictions d'accès)
- Membres du service informatique (accès sans restriction)
Configurer l'authentification des utilisateurs
Vous devez configurer l'authentification des utilisateurs avant de configurer les profils Mobile VPN with IPSec. Utilisez à ces fins l'une des méthodes d'authentification : Active Directory, authentification locale, Radius, LDAP. Pour plus d'informations sur les méthodes d'authentification prises en charge, consultez Types de serveurs d'authentification. Dans cet exemple, nous supposons que l'école souhaite utiliser l'authentification Active Directory.
Activer l'authentification Active Directory
Le serveur d'authentification Active Directory permet aux utilisateurs de s'authentifier sur votre Firebox à l'aide de leurs informations d'identification réseau existantes. Avant de configurer votre périphérique en vue d'une authentification Active Directory, assurez-vous que vos utilisateurs peuvent s'authentifier sans problème au serveur Active Directory.
Si vous activez l'authentification Active Directory, vous devez spécifier la base de recherche. Cette base de recherche impose des limites aux répertoires du serveur d'authentification que le Firebox explore pour établir une correspondance d'authentification. Il est recommandé de définir la racine du domaine comme base de recherche. Cela vous permet de trouver tous les utilisateurs et tous les groupes auxquels ceux-ci appartiennent. Le format standard du paramètre de base de recherche est le suivant : ou=<nom d'unité d'organisation>, dc=<première partie du nom unique du serveur>, dc=<une partie du nom unique du serveur qui apparaît après le point>.
Pour plus d'informations sur la façon de trouver votre base de recherche sur le serveur Active Directory, consultez Trouver votre base de recherche Active Directory.
Dans cet exemple, le serveur Active Directory de l'école utilise l'adresse IP 10.0.1.100
- Sélectionnez Authentification > Serveurs.
La page Serveurs d'authentification s'affiche. - Sélectionnez Active Directory.
La page Serveurs / Active Directory s'affiche. - Cliquez sur Ajouter.
La page des Paramètres du Serveur Active Directory s'affiche.
- Dans la zone de texte Nom de domaine, entrez le nom de domaine à utiliser pour cet Active Directory Server.
Le nom de domaine doit inclure un suffixe de domaine. Par exemple, entrez exemple.com et pas exemple. - Entrez le mot de passe dans les zones de texte Mot de passe et Confirmer.
- Dans la liste déroulante Principal, sélectionnez Adresse IP ou Nom DNS.
Dans cet exemple, sélectionnez Adresse IP. - Dans la zone de texte Principal, entrez l'adresse IP du serveur Active Directory principal.
Dans cet exemple, saisissez 10.0.1.100.
Le serveur Active Directory peut se trouver sur n'importe quelle interface du Firebox. Vous pouvez également configurer le périphérique pour qu'il utilise un Active Directory Server disponible via un tunnel VPN.
- Dans la zone de texte Port, entrez ou sélectionnez le numéro de port TCP utilisé pour la connexion au serveur Active Directory. Le numéro de port par défaut est 389.
Si votre Active Directory Server est un serveur de catalogue global, il est conseillé de modifier le port par défaut. Pour plus d'informations, voir Changer le port par défaut Active Directory Server.
- Dans la zone de texte Base de Recherche, indiquez le répertoire où commencer la recherche au format :
ou=<nom d'unité d'organisation>, dc=<première partie du nom unique du serveur>, dc=<une partie du nom unique du serveur qui apparaît après le point>.
Dans cet exemple, le nom de domaine racine dans la base de données Active Directory étant excellentschool.edu, vous devez entrer dc=excellentschool,dc=edu pour la base de recherche.
- Dans la zone de texte Chaîne de groupe, entrez la chaîne d'attributs utilisée pour conserver des informations de groupe d'utilisateurs sur l'Active Directory Server. Si vous ne modifiez pas le schéma Active Directory, la chaîne de groupe est toujours « memberOf » (« membre de »).
- Dans la zone de texte Nom unique de l'utilisateur qui effectue la recherche, entrez le nom unique d'une opération de recherche.
Il n'est pas nécessaire d'entrer une valeur dans cette zone de texte si vous conservez l'attribut de connexion sAMAccountName. Si vous modifiez l'attribut de connexion, vous devez ajouter une valeur dans le champ Nom unique de l'utilisateur qui effectue la recherche. Vous pouvez entrer un nom unique, comme Administrateur, doté du privilège de recherche dans LDAP/Active Directory. Cependant, un nom unique d'utilisateur plus faible doté uniquement du privilège de recherche est généralement suffisant.
- Dans la zone de texte Mot de passe de l'utilisateur qui effectue la recherche, entrez le mot de passe associé au nom unique d'une opération de recherche.
- Dans le champ Attribut de connexion, entrez un attribut de connexion Active Directory à utiliser pour l'authentification.
Cet attribut est le nom utilisé pour la liaison avec la base de données Active Directory. L'attribut de connexion par défaut est sAMAccountName. Si vous utilisez sAMAccountName, les champs Nom unique de l'utilisateur qui effectue la recherche et Mot de passe de l'utilisateur qui effectue la recherche peuvent être vides.
- Dans la zone de texte Délai d'inactivité, entrez le délai au bout duquel un serveur inactif est défini comme de nouveau actif.
Pour définir la durée, sélectionnez minutes ou heures dans la liste déroulante adjacente.
Lorsqu'un serveur d'authentification ne répond pas au bout d'un certain temps, il est marqué comme inactif. Les tentatives d'authentification supplémentaires ne s'appliquent pas à ce serveur tant qu'il n'est pas à nouveau défini comme actif.
- Cliquez sur Sauvegarder.
- Cliquez sur .
Ou sélectionnez Configurer > Authentification > Serveurs d'authentification.
La boîte de dialogue Serveurs d'authentification s'affiche. - Sélectionnez l'onglet Active Directory.
Les paramètres d'Active Directory apparaissent. - Cliquez sur Ajouter.
La boîte de dialogue Ajouter un domaine Active Directory s'affiche.
- Dans la zone de texte Nom de domaine, entrez le nom de domaine à utiliser pour cet Active Directory Server.
Le nom de domaine doit inclure un suffixe de domaine. Par exemple, entrez exemple.com et pas exemple. - Cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse IP ou un nom DNS s'affiche. - Dans la liste déroulante Choisir le type, sélectionnez Adresse IP ou Nom DNS.
Dans cet exemple, sélectionnez Adresse IP. - Dans la zone de texte Valeur, entrez l'adresse IP du serveur Active Directory principal.
Dans cet exemple, saisissez 10.0.1.100.
Le serveur Active Directory peut se trouver sur n'importe quelle interface du Firebox. Vous pouvez également configurer le périphérique pour qu'il utilise un Active Directory Server disponible via un tunnel VPN.
- Dans la zone de texte Port, entrez ou sélectionnez le numéro de port TCP utilisé pour la connexion au serveur Active Directory. Le numéro de port par défaut est 389.
Si votre Active Directory Server est un serveur de catalogue global, il est conseillé de modifier le port par défaut. Pour plus d'informations, voir Changer le port par défaut Active Directory Server.
- Cliquez sur OK.
L'adresse IP ou le nom DNS que vous avez ajouté(e) apparaît dans la boîte de dialogue Ajouter un domaine Active Directory. - Dans la zone de texte Base de Recherche, indiquez le répertoire où commencer la recherche au format :
ou=<nom d'unité d'organisation>, dc=<première partie du nom unique du serveur>, dc=<une partie du nom unique du serveur qui apparaît après le point>.
Dans cet exemple, le nom de domaine racine dans la base de données Active Directory étant excellentschool.edu, vous devez entrer dc=excellentschool,dc=edu pour la base de recherche.
- Dans la zone de texte Chaîne de groupe, entrez la chaîne d'attributs utilisée pour conserver des informations de groupe d'utilisateurs sur l'Active Directory Server. Si vous ne modifiez pas le schéma Active Directory, la chaîne de groupe est toujours « memberOf » (« membre de »).
- Dans la zone de texte Nom unique de l'utilisateur qui effectue la recherche, entrez le nom unique d'une opération de recherche.
Il n'est pas nécessaire d'entrer une valeur dans cette zone de texte si vous conservez l'attribut de connexion sAMAccountName. Si vous modifiez l'attribut de connexion, vous devez ajouter une valeur dans le champ Nom unique de l'utilisateur qui effectue la recherche. Vous pouvez entrer un nom unique, comme Administrateur, doté du privilège de recherche dans LDAP/Active Directory. Cependant, un nom unique d'utilisateur plus faible doté uniquement du privilège de recherche est généralement suffisant.
- Dans la zone de texte Mot de passe de l'utilisateur qui effectue la recherche, entrez le mot de passe associé au nom unique d'une opération de recherche.
- Dans le champ Attribut de connexion, entrez un attribut de connexion Active Directory à utiliser pour l'authentification.
Cet attribut est le nom utilisé pour la liaison avec la base de données Active Directory. L'attribut de connexion par défaut est sAMAccountName. Si vous utilisez sAMAccountName, les champs Nom unique de l'utilisateur qui effectue la recherche et Mot de passe de l'utilisateur qui effectue la recherche peuvent être vides.
- Dans la zone de texte Délai d'inactivité, entrez le délai au bout duquel un serveur inactif est défini comme de nouveau actif.
Pour définir la durée, sélectionnez minutes ou heures dans la liste déroulante adjacente.
Lorsqu'un serveur d'authentification ne répond pas au bout d'un certain temps, il est marqué comme inactif. Les tentatives d'authentification supplémentaires ne s'appliquent pas à ce serveur tant qu'il n'est pas à nouveau défini comme actif.
- Cliquez sur OK.
- Enregistrer le Fichier de Configuration.
Créer un Profil de Groupe pour les Élèves
L'école désire permettre aux élèves d'accéder uniquement aux serveurs internes DNS, FTP et Web.
- Sélectionnez VPN > Mobile VPN with IPSec.
La page Mobile VPN with IPSec apparaît. - Cliquez sur Ajouter.
La page Mobile VPN with IPSec / Ajouter apparaît.
- Dans la zone de texte Nom, entrez le nom du groupe d'utilisateurs.
Dans cet exemple, les élèves étant inscrits dans le groupe Active Directory Élèves, entrez Élèves. - Dans les zones de texte Mot de passe et Confirmer, saisissez le mot de passe à utiliser pour chiffrer le profil Mobile VPN que vous distribuez aux utilisateurs de ce groupe. Ce mot de passe est également utilisé pour chiffrer le fichier de certificat exporté que vous envoyez aux élèves.
- Dans la liste déroulante Serveur d'authentification, sélectionnez le domaine Active Directory de ce groupe.
Dans cet exemple, sélectionnez excellentschool.edu. - Dans la zone de texte Principal, entrez l'adresse IP externe principale à laquelle les utilisateurs Mobile VPN de ce groupe peuvent se connecter. Il peut s'agir d'une adresse IP externe, d'une adresse IP externe secondaire, ou d'un réseau local virtuel (VLAN) externe. Pour un périphérique en mode d'insertion, utilisez l'adresse IP attribuée à toutes les interfaces.
- Sélectionnez l'onglet Ressources.
- Assurez-vous que la case Autoriser Tout le Trafic à Passer par le Tunnel n'est pas cochée.
Cette option oblige le client VPN à router l'ensemble du trafic Internet de l'ordinateur client par le VPN. Dans cet exemple, l'école permettant aux élèves un accès très limité aux ressources de ce réseau via le tunnel VPN, il n'est pas nécessaire de router le trafic ne concernant pas leur réseau par le tunnel VPN. - Pour ajouter les adresses IP des ressources auxquelles les étudiants peuvent avoir accès via le tunnel, sous la liste Ressources allouées, cliquez sur Ajouter.
L'école désire permettre aux élèves d'accéder uniquement aux serveurs internes DNS, FTP et Web. Dans cet exemple, ajoutez les trois adresses IPv4 hôtes 10.0.2.21, 10.0.2.53 et 10.0.2.80.
- Pour ajouter une plage d'hôtes IPv4 d'adresses IP pour les connexions des élèves, sous la liste Pool d'adresses IP virtuelles, cliquez sur Ajouter.
Dans cet exemple, ajoutez la plage d'adresses IP 10.0.4.1 - 10.0.4.254 au pool d'adresses IP virtuelles. Cela permet au périphérique de gérer plus de 200 connexions simultanées au client VPN.
Une adresse IP issue d'un pool d'adresses virtuelles est attribuée aux utilisateurs Mobile VPN lorsqu'ils se connectent à votre réseau. Le nombre d'adresses IP d'un pool d'adresses IP virtuelles doit être identique au nombre d'utilisateurs Mobile VPN.
Les adresses IP virtuelles ne doivent pas appartenir au sous-réseau des réseaux locaux. Vous devez utiliser des adresses IP virtuelles uniquement dédiées à cette fin sur votre réseau.
- Cliquez sur Sauvegarder.
- Sélectionnez VPN > Mobile VPN > IPSec.
La boîte de dialogue Configuration de Mobile VPN with IPSec s'affiche. - Cliquez sur Ajouter.
L'assistant Add Mobile VPN with IPSec Wizard s'affiche. - Cliquez sur Suivant.
La page Sélectionner un serveur d'authentification utilisateur s'affiche.
- Dans la liste déroulante Serveur d'authentification, sélectionnez le domaine Active Directory de ce groupe.
- Dans la zone de texte Nom du Groupe, entrez le nom du groupe d'utilisateurs.
Dans cet exemple, les élèves étant inscrits dans le groupe Active Directory Élèves, entrez Élèves. - Cliquez sur Suivant.
La page Sélectionner une méthode d'authentification de tunnel s'affiche.
- Sélectionnez une option d'authentification de tunnel :
- Utilisez ce mot de passe
Entrez et confirmez un mot de passe pour ce tunnel. - Utilisez un certificat RSA publié par votre WatchGuard Management Server
Entrez l'adresse IP de votre Management Server ainsi que le Mot de passe Administrateur.
- Utilisez ce mot de passe
- Cliquez sur Suivant.
La page Diriger le flux du trafic Internet s'affiche.
- Sélectionnez une option de trafic Internet :
- Non, autoriser le trafic Internet à accéder directement au fournisseur de services Internet des utilisateurs mobiles.
(Tunneling fractionné) - Oui, obliger tout le trafic Internet à passer par l'intermédiaire du tunnel.
(VPN avec route par défaut)
- Non, autoriser le trafic Internet à accéder directement au fournisseur de services Internet des utilisateurs mobiles.
Pour le profil Élèves, choisissez l'option commençant par Non. Dans cet exemple, l'école permettant aux élèves un accès très limité aux ressources de ce réseau via le tunnel VPN, il n'est pas nécessaire de router le trafic ne concernant pas leur réseau par le tunnel VPN.
- Cliquez sur Suivant.
L'écran Identifier les ressources accessibles via le tunnel apparaît.
L'école désire permettre aux élèves d'accéder uniquement aux serveurs internes DNS, FTP et Web. Dans cet exemple, ajoutez les adresses IP 10.0.2.21, 10.0.2.53 et 10.0.2.80.
- Cliquez sur Ajouter pour indiquer les adresses IP de l'hôte ou du réseau auquel les élèves peuvent se connecter via le tunnel VPN.
- Cliquez sur Suivant.
La page Créer le pool d'adresses IP virtuelles s'affiche.
- Cliquez sur Ajouter pour ajouter une adresse IP ou une plage d'adresses IP.
Dans cet exemple, ajoutez la plage d'adresses IP 10.0.4.1 - 10.0.4.254 au pool d'adresses IP virtuelles. Cela permet au périphérique de gérer plus de 200 connexions simultanées au client VPN.
Une adresse IP issue d'un pool d'adresses virtuelles est attribuée aux utilisateurs Mobile VPN lorsqu'ils se connectent à votre réseau. Le nombre d'adresses IP d'un pool d'adresses IP virtuelles doit être identique au nombre d'utilisateurs Mobile VPN.
Les adresses IP virtuelles ne doivent pas appartenir au sous-réseau des réseaux locaux. Vous devez utiliser des adresses IP virtuelles uniquement dédiées à cette fin sur votre réseau.
- Cliquez sur Suivant.
L'écran « L'assistant Add Mobile VPN with IPSec Wizard s'est terminé correctement » apparaît. Le fichier de configuration des groupes d'utilisateurs finaux Mobile VPN with IPSec est disponible dans l'emplacement indiqué sur cette page. - Cliquez sur Terminer.
Créer un Profil de Groupe pour les Professeurs
Le groupe Professeurs doit avoir accès aux deux réseaux, approuvé et facultatif.
- Sélectionnez VPN > Mobile VPN with IPSec.
La page Mobile VPN with IPSec apparaît. - Cliquez sur Ajouter.
La page Mobile VPN with IPSec / Ajouter apparaît. - Dans la zone de texte Nom, entrez le nom du groupe d'utilisateurs.
Dans cet exemple, les professeurs étant inscrits dans le groupe Active Directory Professeurs, entrez Professeurs. - Dans les zones de texte Mot de passe et Confirmer, saisissez le mot de passe à utiliser pour chiffrer le profil Mobile VPN que vous distribuez aux utilisateurs de ce groupe. Ce mot de passe est également utilisé pour chiffrer le fichier de certificat exporté que vous envoyez aux enseignants.
- Dans la liste déroulante Serveur d'authentification, sélectionnez le domaine Active Directory de ce groupe.
Dans cet exemple, sélectionnez excellentschool.edu. - Dans la zone de texte Principal, entrez l'adresse IP externe principale à laquelle les utilisateurs Mobile VPN de ce groupe peuvent se connecter. Il peut s'agir d'une adresse IP externe, d'une adresse IP externe secondaire, ou d'un réseau local virtuel (VLAN) externe. Pour un périphérique en mode d'insertion, utilisez l'adresse IP attribuée à toutes les interfaces.
- Sélectionnez l'onglet Ressources.
- Assurez-vous que la case Autoriser Tout le Trafic à Passer par le Tunnel n'est pas cochée.
Cette option oblige le client VPN à router l'ensemble du trafic Internet de l'ordinateur client par le VPN. Le trafic du groupe Professeurs utilisant des ressources de votre réseau est routé par le tunnel. Les professeurs peuvent continuer à utiliser leur connexion Internet personnelle pour le trafic vers des emplacements ne se trouvant pas sur le réseau privé. - Pour ajouter les adresses IP des ressources auxquelles les professeurs peuvent avoir accès via le tunnel, sous la liste Ressources allouées, cliquez sur Ajouter.
Le groupe Professeurs doit avoir accès aux deux réseaux, approuvé et facultatif. Pour permettre l'accès à ces réseaux, ajoutez les adresses IP réseau de ces deux réseaux. Dans cet exemple, ajoutez ces adresses IP réseau :
10.0.2.0/24 et 10.0.1.0/24.
- Pour ajouter une plage d'hôtes d'adresses IPv4 pour les connexions des professeurs, sous la liste Pool d'adresses IP virtuelles, cliquez sur Ajouter
Dans cette école, 50 adresses IP sont suffisantes pour le groupe Professeurs. Dans cet exemple, ajoutez la plage d'adresses IP 10.0.5.1 - 10.0.5.50 au pool d'adresses IP virtuelles.
- Cliquez sur Sauvegarder.
- Sélectionnez VPN > Mobile VPN > IPSec.
La boîte de dialogue Configuration de Mobile VPN with IPSec s'affiche. - Cliquez sur Ajouter.
L'assistant Add Mobile VPN with IPSec Wizard s'affiche. - Cliquez sur Suivant.
La page Sélectionner un serveur d'authentification utilisateur s'affiche.
- Dans la liste déroulante Serveur d'authentification, sélectionnez le domaine Active Directory de ce groupe.
- Dans la zone de texte Nom du Groupe, entrez le nom du groupe Professeurs.
Dans cet exemple, les professeurs étant inscrits dans le groupe Active Directory Professeurs, entrez Professeurs. - Cliquez sur Suivant.
La page Sélectionner une méthode d'authentification de tunnel s'affiche.
- Sélectionnez une option d'authentification de tunnel :
- Utilisez ce mot de passe
Entrez et confirmez un mot de passe pour ce tunnel. - Utilisez un certificat RSA publié par votre WatchGuard Management Server
Entrez l'adresse IP de votre Management Server ainsi que le Mot de passe Administrateur.
- Utilisez ce mot de passe
- Cliquez sur Suivant.
La page Diriger le flux du trafic Internet s'affiche.
- Sélectionnez une option de trafic Internet :
- Non, autoriser le trafic Internet à accéder directement au fournisseur de services Internet des utilisateurs mobiles.
(Tunneling fractionné) - Oui, obliger tout le trafic Internet à passer par l'intermédiaire du tunnel.
(VPN avec route par défaut)
- Non, autoriser le trafic Internet à accéder directement au fournisseur de services Internet des utilisateurs mobiles.
Pour le profil Professeurs, choisissez l'option commençant par Non. Le trafic du groupe Professeurs vers des ressources de votre réseau est routé par le tunnel. Les professeurs peuvent continuer à utiliser leur connexion Internet personnelle pour le trafic vers des emplacements ne se trouvant pas sur votre réseau privé.
- Cliquez sur Suivant.
La page Identifier les ressources accessibles via le tunnel s'affiche.
- Cliquez sur Ajouter pour indiquer les adresses IP d'hôte ou de réseau auxquelles les professeurs peuvent se connecter via le tunnel VPN.
Le groupe Professeurs devant avoir accès aux deux réseaux, approuvé et facultatif, nous avons ajouté les adresses IP réseau de ces deux réseaux. Dans cet exemple, ajoutez les adresses IP réseau 10.0.2.0/24 et 10.0.1.0/24.
- Cliquez sur Suivant.
La page Créer le pool d'adresses IP virtuelles s'affiche. Dans cet exemple, nous supposons que 50 adresses IP hôtes sont suffisantes pour le groupe Professeurs.
- Cliquez sur Ajouter pour ajouter une adresse IP ou une plage d'adresses IP.
Dans cette école, 50 adresses IP sont suffisantes pour le groupe Professeurs. Dans cet exemple, ajoutez la plage d'adresses IP 10.0.5.1 - 10.0.5.50 au pool d'adresses IP virtuelles.
- Cliquez sur Suivant.
L'écran « L'assistant Add Mobile VPN with IPSec Wizard s'est terminé correctement » apparaît. Le fichier de configuration des groupes d'utilisateurs finaux Mobile VPN with IPSec est disponible dans l'emplacement indiqué à l'écran. - Cliquez sur Terminer.
Créer un Profil de Groupe pour le Service Informatique
Le Service Informatique dispose d'un accès illimité au réseau et doit pouvoir se connecter à divers sites se connectant au réseau via des tunnels Branch Office VPN.
- Sélectionnez VPN > Mobile VPN with IPSec.
La page Mobile VPN with IPSec apparaît. - Cliquez sur Ajouter.
La page Mobile VPN with IPSec / Ajouter apparaît. - Dans la zone de texte Nom, entrez le nom du groupe d'utilisateurs.
Dans cet exemple, les membres du Service Informatique étant inscrits dans le groupe Active Directory Service Informatique, entrez Service Informatique. - Dans la liste déroulante Serveur d'authentification, sélectionnez le domaine Active Directory de ce groupe.
Dans cet exemple, sélectionnez excellentschool.edu. - Dans les zones de texte Mot de passe et Confirmer, saisissez le mot de passe à utiliser pour chiffrer le profil Mobile VPN que vous distribuez aux utilisateurs de ce groupe. Ce mot de passe est également utilisé pour chiffrer le fichier de certificat exporté que vous envoyez au groupe Service Informatique.
- Dans la zone de texte Principal, entrez l'adresse IP externe principale à laquelle les utilisateurs Mobile VPN de ce groupe peuvent se connecter. Il peut s'agir d'une adresse IP externe, d'une adresse IP externe secondaire, ou d'un réseau local virtuel (VLAN) externe. Pour un périphérique en mode d'insertion, utilisez l'adresse IP attribuée à toutes les interfaces.
- Sélectionnez l'onglet Ressources.
- Cochez la case Autoriser tout le trafic à passer par le tunnel.
Lorsque vous sélectionnez cette option, la liste des Ressources Allouées inclut automatiquement les ressources de tous les réseaux.
Le Service Informatique dispose d'un accès illimité au réseau et doit pouvoir se connecter à divers sites se connectant au réseau via des tunnels Branch Office VPN. Ce paramètre signifie aussi que les connexions des utilisateurs du Service Informatique se connectent aux hôtes Internet utilisant la même connexion Internet que les utilisateurs locaux du réseau. Cela peut être utile pour résoudre des problèmes sur le réseau.
- Pour ajouter une plage d'hôtes ou d'adresses IPv4 pour les connexions des membres du Service Informatique, sous la liste Pool d'adresses IP virtuelles, cliquez sur Ajouter.
Dans cette école, le Service Informatique n'a besoin que de 25 adresses IP virtuelles. Dans cet exemple, ajoutez la plage d'adresses IP 10.0.5.51 - 10.0.5.76 au pool d'adresses IP virtuelles.
- Cliquez sur Sauvegarder.
La configuration du groupe Service Informatique est ajoutée.
- Sélectionnez VPN > Mobile VPN > IPSec.
La boîte de dialogue Configuration de Mobile VPN with IPSec s'affiche. - Cliquez sur Ajouter.
L'assistant Add Mobile VPN with IPSec Wizard s'affiche. - Cliquez sur Suivant.
La page Sélectionner un serveur d'authentification utilisateur s'affiche.
- Dans la liste déroulante Serveur d'authentification, sélectionnez le domaine Active Directory de ce groupe.
Dans cet exemple, l'équipe du Service Informatique étant inscrite dans le groupe Active Directory Service Informatique, entrez Service Informatique. - Dans la zone de texte Nom du Groupe, saisissez le nom du groupe Service Informatique.
- Cliquez sur Suivant.
La page Sélectionner une méthode d'authentification de tunnel s'affiche.
- Sélectionnez une option d'authentification de tunnel :
- Utilisez ce mot de passe
Entrez et confirmez un mot de passe pour ce tunnel. - Utilisez un certificat RSA publié par votre WatchGuard Management Server
Entrez l'Adresse IP de votre Management Server ainsi que le Mot de passe Administrateur.
- Utilisez ce mot de passe
- Cliquez sur Suivant.
La page Diriger le flux du trafic Internet s'affiche.
- Sélectionnez une option de trafic Internet :
- Non, autoriser le trafic Internet à accéder directement au fournisseur de services Internet des utilisateurs mobiles.
(tunneling fractionné) - Oui, obliger tout le trafic Internet à passer par l'intermédiaire du tunnel.
(VPN avec route par défaut)
- Non, autoriser le trafic Internet à accéder directement au fournisseur de services Internet des utilisateurs mobiles.
Pour le profil Service Informatique, choisissez l'option commençant par Oui. Le Service Informatique dispose d'un accès illimité au réseau et doit pouvoir se connecter à divers sites se connectant au réseau via des tunnels Branch Office VPN. Avec ce paramètre, les connexions des utilisateurs du groupe Service Informatique se connectant à des hôtes Internet utilisent la même connexion Internet que les utilisateurs locaux du réseau. Cela peut être utile pour résoudre des problèmes sur le réseau
- Cliquez sur Suivant.
La page Identifier les ressources accessibles via le tunnel s'affiche. Puisqu'à l'étape précédente, vous avez choisi : Oui, obliger l'ensemble du trafic Internet à passer par le tunnel, vous n'êtes pas obligé de modifier les paramètres de configuration de cette page.
- Cliquez sur Suivant.
La page Créer le pool d'adresses IP virtuelles s'affiche.
- Cliquez sur Ajouter pour ajouter une adresse IP ou une plage d'adresses IP.
Dans cet exemple, étant donné que le groupe Informatique n'a besoin que de 25 adresses IP virtuelles, nous avons spécifié la plage d'adresses suivante : 10.0.5.51 - 10.0.5.76. - Cliquez sur Suivant.
L'écran « L'assistant Add Mobile VPN with IPSec Wizard s'est terminé correctement » apparaît. Le fichier de configuration des groupes d'utilisateurs finaux Mobile VPN with IPSec est disponible dans l'emplacement indiqué à l'écran. - Cliquez sur Terminer.
- Enregistrez la configuration sur le Firebox.
Résumé
Les profils VPN décrits dans cet exemple permettent aux élèves, aux professeurs et aux membres du Service Informatique d'utiliser le client Mobile VPN with IPSec pour s'authentifier auprès du serveur Active Directory et de se connecter aux différentes ressources réseau de l'école. Un VPN « default-route » a été configuré pour les membres du service Informatique. Les professeurs et les élèves sont paramétrés avec un tunnel VPN fractionné. Pour plus d'informations sur ces deux options, consultez Options d'accès Internet pour les utilisateurs Mobile VPN.
L'administrateur peut maintenant distribuer les fichiers de configuration d'utilisateur final aux élèves, professeurs et membres du Service Informatique, accompagnés du client VPN. Si la configuration comporte un mot de passe pour le tunnel, les utilisateurs doivent aussi être en possession du mot de passe du tunnel pour installer le profil d'utilisateur final dans le client Mobile VPN IPSec de WatchGuard. Pour démarrer une connexion VPN, chaque utilisateur doit indiquer ses informations d'identification telles que définies sur le serveur Active Directory.
Pour plus d'informations sur la configuration du client, consultez :