Contents

Rubriques Connexes

Utiliser Mobile VPN with IPSec avec un Périphérique Android

Les périphériques mobiles Android 4.x et les versions ultérieures disposent d'un client VPN natif. Dans certains cas, les fabricants modifient le client VPN Android natif en ajoutant des options ou installent leur propre client VPN.

Pour établir une connexion VPN IPSec d'un périphérique Android vers un Firebox :

  • Votre client VPN doit fonctionner en mode Agressif.
  • Le Firebox doit exécuter Fireware v11.5.1 ou une version ultérieure.
  • Le Firebox doit être configuré avec les transformations de Phase 1 et Phase 2 prises en charge par le périphérique Android.

Les versions récentes du client VPN natif d'Android utilisent le mode Principal, incompatible avec Mobile VPN with IPSec. Il est impossible d'afficher ou modifier le paramètre de mode du client VPN natif d'Android. Si le fabricant de votre périphérique Android a modifié le client VPN natif, vous avez parfois la possibilité de modifier ce paramètre.

Si vous ne parvenez pas à modifier les paramètres du périphérique de manière à activer le mode Agressif, nous vous recommandons d'employer l'une des méthodes de connexion suivantes :

  • Si le fabricant du périphérique Android y a installé son propre client VPN, tentez de vous connecter avec ce client s'il peut fonctionner en mode Agressif. Pour de plus amples informations, consultez la documentation du fabricant.
  • Dans les paramètres du client VPN natif d'Android, configurez l'option L2TP with IPSec. Activez ensuite L2TP sur votre Firebox. Le L2TP du Firebox fonctionne en mode Principal. Pour de plus amples informations concernant L2TP, consultez la section À Propos de l'Authentification des Utilisateurs L2TP.
  • Installez le client SSL OpenVPN sur votre périphérique Android. Vous devez télécharger manuellement le profil client SSL sur le Portail SSL du Firebox. Pour de plus amples informations concernant le profil client, consultez la section Distribuer et Installer Manuellement le Logiciel Client et le Fichier de Configuration Mobile VPN with SSL.

Paramètres d'Authentification et de Chiffrement

Les périphériques Android possèdent une liste préconfigurée des transformations VPN qu'ils prennent en charge. À moins que le fabricant de votre périphérique ait modifié le client VPN natif d'Android, il est impossible d'afficher cette liste ou de spécifier d'autres transformations par défaut. Les versions récentes du système d'exploitation Android présentent les transformations par défaut suivantes :

Phase 1 — SHA2(256)–AES(256)–DH2

Phase 2 — SHA2(256)–AES(256)

Certaines anciennes versions du système d'exploitation Android présentent les transformations par défaut suivantes :

Phase 1 — SHA1–AES(256)–DH2

Phase 2 — SHA1–AES(256)

Dans certains cas, le fabricant de votre périphérique Android spécifie parfois d'autres transformations par défaut pour le client VPN natif d'Android.

Pour établir une connexion VPN avec le Firebox, le périphérique Android envoie son jeu de transformations par défaut au Firebox. Vous devez configurer le Firebox avec les transformations prises en charge par Android correspondant à la connexion VPN à établir. Nous vous recommandons de spécifier le jeu de transformations par défaut d'Android défini dans les paramètres Mobile VPN with IPSec du Firebox.

Les transformations spécifiées sur le Firebox diffèrent du jeu de transformations par défaut d'Android, le périphérique Android envoie le jeu de transformations suivant de sa liste. Cette opération se répète jusqu'à ce que le périphérique Android trouve un jeu de transformations de sa liste correspondant aux paramètres du Firebox, atteigne le nombre maximal de tentatives ou ne puisse plus tester d'autres transformations.

Pour résoudre les problèmes de connexion, consultez la rubrique Dépanner Mobile VPN with IPSec et Traffic Monitor.

Configurer le Firebox

Avant de vous connecter avec le client VPN natif d'Android, vous devez configurer les paramètres Mobile VPN with IPSec de votre Firebox-

Pour configurer les paramètres requis sur le Firebox, dans Fireware Web UI :Closed
  1. Sélectionnez VPN > Mobile VPN with IPSec.
    La page Mobile VPN with IPSec apparaît.
  2. Cliquez sur Ajouter.
    La page des paramètres Mobile VPN with IPSec s'affiche.
  1. Dans la zone de texte Nom, saisissez le nom du groupe d'authentification auquel les utilisateurs du VPN Android appartiennent.

Vous pouvez saisir le nom d'un groupe existant ou celui d'un nouveau groupe Mobile VPN. Vérifiez que le nom est unique et qu'il n'a pas été attribué à des noms de groupes VPN, d'interface ou de tunnel VPN.

  1. Dans la liste déroulante Serveur d'authentification, sélectionnez un serveur d'authentification.

Vérifiez que cette méthode d'authentification est activée.

Si vous créez un groupe d'utilisateurs Mobile VPN s'authentifiant sur un serveur d'authentification externe, créez sur le serveur un groupe portant le nom du serveur spécifié dans l'assistant pour le groupe Mobile VPN. Si vous utilisez Active Directory comme serveur d'authentification, les utilisateurs doivent appartenir à un groupe de sécurité Active Directory du même nom que le nom de groupe que vous avez configuré pour Mobile VPN with IPSec. Pour de plus amples informations, consultez la section Configurer le serveur d'authentification externe.

  1. Tapez et confirmez le mot de passe à utiliser pour ce tunnel.
  2. Dans la section Adresses IP Firebox, tapez l'adresse IP externe principale ou le nom de domaine auxquels les utilisateurs Mobile VPN de ce groupe peuvent se connecter.
  3. Sélectionnez l'onglet Tunnel IPSec.
    Les paramètres du tunnel IPSec s'affichent.
  1. Sélectionnez Utiliser le mot de passe du profil d'utilisateur final comme clé pré-partagée.
    Cela est le paramètre par défaut.
  2. Dans la liste déroulante Authentification, sélectionnez SHA-2. Sélectionnez SHA-1 si votre périphérique Android ne prend pas en charge SHA-2.
  3. Dans la liste déroulante Chiffrement, sélectionnez AES (256 bits). Il s'agit du paramètre de chiffrement par défaut des périphériques Android.
  4. Dans la rubrique Paramètres de phase 1, cliquez sur Avancés.
    La boîte de dialogue Paramètres avancés de Phase 1 s'affiche.
  1. Définissez la Durée de Vie de la SA à 1 heure.

Le client VPN Android est configuré pour renouveler la clé après une heure. Si ce profil est utilisé uniquement pour des connexions par le VPN Android, définissez la durée de vie de la SA à 1 heure pour assurer la concordance avec le paramètre du client.

Si vous prévoyez d'utiliser ce profil VPN pour tous les clients VPN pris en charge, définissez la durée de vie de la SA à 8 heures. Lorsque la Durée de Vie de la SA est fixée à 8 heures, les clients VPN Shrew Soft renouvellent la clé au bout de 8 heures, mais le client VPN Android utilise une valeur plus faible (1 heure).

  1. Dans la liste déroulante Groupe de clés, sélectionnez Groupe Diffie-Hellman 2. Il s'agit du groupe de clés par défaut des périphériques Android.
  2. Ne modifiez aucun des autres paramètres avancés de phase 1.
  1. Cliquez sur OK.
  2. Dans la section Paramètres de phase 2, décochez la case PFS.
  1. Dans la section Paramètres de phase 2, cliquez sur Avancés.
    La boîte de dialogue Paramètres avancés de Phase 2 s'affiche.
  1. Dans la liste déroulante Authentification, sélectionnez SHA-2. Sélectionnez SHA-1 si votre périphérique Android ne prend pas en charge SHA-2.
  2. Dans la liste déroulante Chiffrement, sélectionnez AES (256 bits), le paramètre de chiffrement par défaut des périphériques Android.
  3. Dans les paramètres Forcer l'expiration de la clé, définissez la Durée d'expiration à 1 heure et décochez la case à cocher Trafic.
  4. Cliquez sur OK.
  5. Sélectionnez l'onglet Ressources.
  6. Cochez la case Autoriser tout le trafic à passer par le tunnel.
    Vous configurez ainsi le tunnel sur un VPN avec route par défaut. Le client VPN Android ne prend pas en charge le tunneling fractionné.
  7. Dans la liste Pool d'adresses IP virtuelles, ajoutez les adresses IP internes utilisées par les utilisateurs de Mobile VPN via le tunnel.
    Pour ajouter une adresse IP ou une adresse IP réseau au pool d'adresses IP virtuelles, sélectionnez IP d'hôte ou IP du réseau, saisissez l'adresse et cliquez sur Ajouter.

Une adresse IP issue d'un pool d'adresses virtuelles est attribuée aux utilisateurs Mobile VPN lorsqu'ils se connectent à votre réseau. Le nombre d'adresses IP d'un pool d'adresses IP virtuelles doit être identique au nombre d'utilisateurs Mobile VPN. Si un FireCluster est configuré, vous devez ajouter deux adresses IP virtuelles pour chaque utilisateur Mobile VPN.

Les adresses IP virtuelles ne doivent pas appartenir au sous-réseau des réseaux locaux. Vous devez utiliser des adresses IP virtuelles uniquement dédiées à cette fin sur votre réseau.

  1. Cliquez sur Sauvegarder.
Pour configurer les paramètres requis sur le Firebox, dans Policy Manager :Closed

Pour commencer, utilisez Mobile VPN with IPSec Wizard pour configurer les paramètres de base :

  1. Sélectionnez VPN > Mobile VPN > IPSec.
    La boîte de dialogue Configuration de Mobile VPN with IPSec s'affiche.
  2. Cliquez sur Ajouter.
    L'assistant Add Mobile VPN with IPSec Wizard s'affiche.
  3. Cliquez sur Suivant.
    La page Sélectionner un serveur d'authentification utilisateur s'affiche.
  1. Dans la liste déroulante Serveur d'authentification, sélectionnez un serveur d'authentification.

Vous pouvez authentifier les utilisateurs sur le Firebox (Firebox-DB) ou sur un serveur RADIUS ou Active Directory. Vérifiez que la méthode d'authentification que vous choisissez est activée.

  1. Dans la zone de texte Nom de groupe, tapez le nom du groupe d'authentification auquel les utilisateurs Android appartiennent.

Vous pouvez saisir le nom d'un groupe Mobile VPN déjà créé ou d'un nouveau groupe Mobile VPN. Vérifiez que le nom est unique et qu'il n'a pas été attribué à des noms de groupes VPN, d'interface ou de tunnel.

Si vous créez un groupe d'utilisateurs Mobile VPN s'authentifiant sur un serveur d'authentification externe, créez sur le serveur un groupe portant le nom du serveur spécifié dans l'assistant pour le groupe Mobile VPN. Si vous utilisez Active Directory comme serveur d'authentification, les utilisateurs doivent appartenir à un groupe de sécurité Active Directory du même nom que le nom de groupe que vous avez configuré pour Mobile VPN with IPSec. Pour de plus amples informations, consultez la section Configurer le serveur d'authentification externe.

  1. Cliquez sur Suivant.
    La page Sélectionner une méthode d'authentification de tunnel s'affiche.
  1. Sélectionnez Utiliser ce mot de passe. Tapez puis confirmez le mot de passe.
  2. Cliquez sur Suivant.
    La page Diriger le flux du trafic Internet s'affiche.
  1. Cochez Oui, obliger tout le trafic Internet à passer par l'intermédiaire du tunnel.
    Vous configurez ainsi le tunnel sur un VPN avec route par défaut. Le client VPN Android ne prend pas en charge le tunneling fractionné.
  2. Cliquez sur Suivant.
    La page Créer le pool d'adresses IP virtuelles s'affiche.
  1. Cliquez sur Suivant et Terminer.
  2. Pour un VPN avec route par défaut, la configuration autorise automatiquement l'accès à toutes les adresses IP du réseau et à l'alias Tout-Externe.

Une adresse IP issue d'un pool d'adresses virtuelles est attribuée aux utilisateurs Mobile VPN lorsqu'ils se connectent à votre réseau. Le nombre d'adresses IP d'un pool d'adresses IP virtuelles doit être identique au nombre d'utilisateurs Mobile VPN. Si un FireCluster est configuré, vous devez ajouter deux adresses IP virtuelles pour chaque utilisateur Mobile VPN.

Les adresses IP virtuelles ne doivent pas appartenir au sous-réseau des réseaux locaux. Vous devez utiliser des adresses IP virtuelles uniquement dédiées à cette fin sur votre réseau.

  1. Cliquez sur Suivant.
  2. Pour ajouter des utilisateurs au nouveau groupe Mobile VPN with IPSec, cochez la case Ajouter des utilisateurs.
  3. Cliquez sur Terminer.
    La configuration Mobile VPN que vous avez créée apparaît dans la boîte de dialogue Configuration de Mobile VPN with IPSec.

Ensuite, vous devez modifier les paramètres VPN de Phase 1 et de Phase 2 pour assurer la concordance avec les paramètres du client VPN Android.

  1. Dans la boîte de dialogue Configuration de Mobile VPN with IPSec, sélectionnez la configuration que vous venez d'ajouter.
  2. Cliquez sur Modifier.
    La boîte de dialogue Modifier Mobile VPN with IPSec s'affiche.
  3. Sélectionnez l'onglet Tunnel IPSec.
  1. Dans la liste déroulante Authentification, sélectionnez SHA2-256. Sélectionnez SHA-1 si votre périphérique Android ne prend pas en charge SHA-2.
  2. Dans la liste déroulante Chiffrement, sélectionnez AES (256 bits), le paramètre de chiffrement par défaut des périphériques Android.
  3. Cliquez sur Avancé.
    La boîte de dialogue Paramètres avancés de Phase 1 s'affiche.
  1. Définissez la Durée de vie de la SA à 1 heure.

Le client VPN Android est configuré pour renouveler la clé après une heure. Si ce profil est utilisé uniquement pour les connexions par le VPN Android, définissez la durée de vie de la SA à 1 heure pour assurer la concordance avec le paramètre du client.

Si vous voulez utiliser ce profil VPN pour tous les clients VPN pris en charge, définissez la durée de vie de la SA à 8 heures. Lorsque la Durée de Vie de la SA est fixée à 8 heures, les clients VPN Shrew Soft renouvellent la clé au bout de 8 heures, mais le client VPN Android utilise une valeur plus faible (1 heure).

  1. Dans la liste déroulante Groupe de clés, sélectionnez Groupe Diffie-Hellman 2.
  2. Ne modifiez aucun des autres paramètres avancés de phase 1.
  3. Cliquez sur OK.
  4. Dans la boîte de dialogue Modification de Mobile VPN with IPSec, cliquez sur Proposition.
  1. Dans la liste déroulante Authentification, sélectionnez SHA2-256. Sélectionnez SHA-1 si votre périphérique Android ne prend pas en charge SHA-2.
  2. Dans la liste déroulante Chiffrement, sélectionnez AES (256 bits), le paramètre de chiffrement par défaut des périphériques Android.
  3. Dans les paramètres Forcer l'expiration de la clé, définissez la Durée d'expiration à 1 heure et décochez la case Trafic.
  4. Cliquez sur OK.
  5. Dans la boîte de dialogue Modification de Mobile VPN with IPSec, décochez la case PFS.
    Le mode Perfect Forward Secrecy n'est pas pris en charge par VPN Android.
  1. Enregistrez le fichier de configuration dans votre Firebox.

Pour s'authentifier depuis le client VPN Android, les utilisateurs de VPN Android doivent être membres du groupe d'authentification que vous avez spécifié dans l'assistant Add Mobile VPN with IPSec Wizard.

  • Pour apprendre à ajouter de nouveaux utilisateurs à un groupe d'utilisateurs du Firebox, consultez Définir un nouvel utilisateur pour l'authentification Firebox.
  • Si vous faites appel à un serveur d'authentification tierce, reportez-vous aux instructions de la documentation fournie par votre fournisseur.

Configurer le client VPN Android natif

Après avoir configuré le Firebox, les utilisateurs du groupe d'authentification que vous avez spécifié dans le profil Mobile VPN with IPSec sur le Firebox peuvent utiliser le client VPN Android natif pour se connecter. Pour utiliser le client VPN Android natif, l'utilisateur doit configurer manuellement les paramètres du client VPN pour qu'ils correspondent aux paramètres configurés sur le Firebox.

Pour configurer manuellement le client VPN natif sur le périphérique Android :

  1. Sur la page Paramètres, dans la section Réseaux et Réseaux Sans Fil, sélectionnez Plus > VPN.
  1. Cliquez sur Ajouter un réseau VPN.
    La page Modifier le réseau VPN s'affiche.
  1. Configurez ces paramètres :
    • Nom — Un nom pour identifier cette connexion VPN sur le périphérique Android
    • Type — Sélectionnez PSK IPSec Xauth
    • Adresse du serveur — Il s'agit de l'adresse IP externe du Firebox
    • Identifiant IPSec — Le nom de groupe spécifié dans la configuration Mobile VPN with IPSec du Firebox
    • Clé IPSec pré-partagée — Le mot de passe du tunnel que vous avez défini dans la configuration Mobile VPN with IPSec du Firebox
  1. Enregistrez la connexion
  2. Ouvrez la connexion et saisissez le Nom d'utilisateur et Mot de passe pour un utilisateur dans un groupe d'authentification spécifié.
  1. Cliquez sur Connecter.

Pour vérifier que vous êtes connecté et que le tunnel VPN est actif, accédez à un site Web qui indique votre adresse IP tel que www.whatismyip.com. Si votre périphérique Android est connecté via le VPN, votre adresse IP est l'adresse IP externe du Firebox.

Voir aussi

Mobile VPN with IPSec

Définir des paramètres de phase 1 avancés

Définir des paramètres de phase 2 avancés

Envoyer Vos Commentaires     Obtenir de l'Aide     Documentation Complète des Produits     Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.