Rubriques Connexes
Configurer le Firebox pour Mobile VPN with IPSec
Vous pouvez activer Mobile VPN with IPSec pour un groupe d'utilisateurs que vous avez déjà créé ou en créer un nouveau. Les utilisateurs du groupe peuvent s'authentifier sur le Firebox ou sur un serveur d'authentification tiers défini dans la configuration de votre Firebox.
Pour des informations sur l'ajout d'utilisateurs à un groupe pour une authentification Firebox locale, consultez Ajouter des utilisateurs à un groupe Firebox Mobile VPN. Si vous utilisez un serveur d'authentification tiers, suivez les instructions fournies dans la documentation du fabricant.
Configurer un groupe Mobile VPN with IPSec
Pour configurer Mobile VPN with IPSec pour un groupe d'utilisateurs, ajoutez une configuration de groupe Mobile VPN with IPSec.
- Sélectionnez VPN > Mobile VPN with IPSec.
La page Mobile VPN with IPSec apparaît.
- Cliquez sur Ajouter.
La page Paramètres Mobile User VPN with IPSec apparaît.
- Dans la zone de texte Nom, attribuez un nom à ce groupe Mobile VPN.
Vous pouvez saisir le nom d'un groupe existant ou celui d'un nouveau groupe Mobile VPN. Vérifiez que le nom est unique et qu'il n'a pas été attribué à un groupe VPN, une interface ou un tunnel VPN.
Si vous créez un groupe d'utilisateurs Mobile VPN s'authentifiant sur un serveur d'authentification externe, créez sur le serveur un groupe portant le nom du serveur spécifié dans l'assistant pour le groupe Mobile VPN. Si vous utilisez Active Directory comme serveur d'authentification, les utilisateurs doivent appartenir à un groupe de sécurité Active Directory du même nom que le nom de groupe que vous avez configuré pour Mobile VPN with IPSec. Pour de plus amples informations, consultez la section Configurer le serveur d'authentification externe.
- Configurez ces paramètres pour modifier le profil de groupe :
Serveur d'authentification
Sélectionnez le serveur d'authentification à utiliser pour ce groupe Mobile VPN. Vous pouvez authentifier les utilisateurs avec la base de données interne (Firebox-DB) du Firebox ou encore avec un serveur RADIUS, VASCO, SecurID, LDAP ou Active Directory. Vérifiez que la méthode d'authentification que vous choisissez est activée.
Mot de passe
Entrez un mot de passe pour chiffrer le profil Mobile VPN (fichier .wgx) que vous distribuez aux utilisateurs de ce groupe. La clé partagée peut uniquement contenir des caractères ASCII standard. Si vous utilisez un certificat pour l'authentification, ce mot de passe est aussi utilisé pour chiffrer le fichier certificat exporté que vous envoyez aux utilisateurs.
Confirmer
Entrez de nouveau le mot de passe.
Principale
Saisissez l'adresse IP externe principale à laquelle les utilisateurs Mobile VPN de ce groupe peuvent se connecter. Il peut s'agir d'une adresse IP externe, d'une adresse IP externe secondaire ou d'un réseau local virtuel (VLAN) externe. Pour un périphérique en mode d'insertion, utilisez l'adresse IP attribuée à toutes les interfaces.
Sauvegarder
Saisissez l'adresse IP externe de sauvegarde à laquelle les utilisateurs Mobile VPN de ce groupe peuvent se connecter. L'adresse IP de sauvegarde est facultative. Si vous ajoutez une adresse IP de secours, assurez-vous qu'il s'agisse d'une adresse IP attribuée à une interface externe ou un réseau local virtuel (VLAN).
Délai d'expiration de la session
Sélectionnez la durée d'activité maximale (en minutes) d'une session Mobile VPN.
Délai d'inactivité
Sélectionnez le délai en minutes avant que le Firebox ne ferme une session Mobile VPN inactive. Les valeurs de délai d'expiration et d'inactivité de la session sont les valeurs de délai par défaut si le serveur d'authentification n'a pas ses propres valeurs de délai. Si vous utilisez le Firebox en tant que serveur d'authentification, les délais du groupe Mobile VPN sont toujours ignorés car vous définissez des délais pour chaque compte d'utilisateur du Firebox.
Les délais de session et d'inactivités ne peuvent pas être plus longs que la valeur du champ SA Life.
Pour définir cette valeur, dans la boîte de dialogue Paramètres Mobile VPN with IPSec, cliquez sur l'onglet Tunnel IPSec, puis sur Avancé pour les Paramètres de phase 1. La valeur par défaut est de 8 heures.
- Sélectionnez l'onglet Tunnel IPSec.
La page Tunnel IPSec s'ouvre.
- Configurez ces paramètres :
Utilisez le mot de passe du profil d'utilisateur final comme clé pré-partagée
Sélectionnez cette option pour utiliser le mot de passe du profil de l'utilisateur final comme clé pré-partagée et permettre une authentification d'accès au tunnel. Vous devez utiliser la même clé partagée sur le périphérique distant. Cette clé partagée peut uniquement contenir des caractères ASCII standard.
Utiliser un certificat
Sélectionnez cette option pour utiliser un certificat dans le cadre d'une authentification d'accès au tunnel.
Pour plus d'informations, voir Certificats pour l'authentification des tunnels mobile VPN with IPSec.
Adresse IP de l'autorité de certification
Si vous utilisez un certificat, saisissez l'adresse IP du serveur Management Server qui a été configuré en tant qu'autorité de certification.
Délai
Si vous utilisez un certificat, saisissez la durée en secondes avant que le client Mobile VPN with IPSec ne cesse d'essayer de se connecter si l'autorité de certification ne répond pas. Il est conseillé de conserver la valeur par défaut.
Paramètres de Phase 1
Sélectionnez les méthodes d'authentification et de chiffrement relatives au tunnel VPN. Pour configurer des paramètres avancés, tels que le Parcours NAT ou la clé de groupe, cliquez sur Avancé, puis consultez Définir des paramètres de phase 1 avancés.
Les options de chiffrement sont répertoriées de la moins complexe et sécurisée à la plus complexe et sécurisée.
- DES
- 3DES
- AES (128 bits)
- AES (192 bits)
- AES (256 bits)
Paramètres de Phase 2
PFS (Perfect Forward Secrecy) est activé par défaut. Dans la liste déroulante, sélectionnez un groupe Diffie-Hellman.
Pour modifier d'autres paramètres de proposition, cliquez sur Avancé et consultez Définir des paramètres de phase 2 avancés.
- Sélectionnez l'onglet Ressources.
La page Ressources apparaît.
- Configurez ces paramètres :
Autoriser tout le trafic à passer par le tunnel
Pour faire passer tout le trafic Internet des utilisateurs de Mobile VPN par le tunnel VPN, cochez cette case.
Si vous cochez cette case, le trafic Internet des utilisateurs Mobile VPN passe par le tunnel VPN. Ce système est plus sûr, mais les performances du réseau sont réduites.
If vous ne cochez pas cette case, le trafic Internet des utilisateurs Mobile VPN est envoyé directement sur Internet. Ce système est moins sûr, mais la navigation sur Internet est plus rapide.
Ressources Autorisées
Cette liste répertorie les ressources auxquelles les utilisateurs du groupe d'authentification Mobile VPN peuvent accéder sur le réseau.
Pour ajouter une adresse IP ou une adresse IP réseau à la liste des ressources réseau, cliquez sur Ajouter. Sélectionnez Hôte IPv4 ou Réseau IPv4, entrez l'adresse et cliquez sur OK.
Pour supprimer l'adresse IP ou l'adresse IP réseau sélectionnée de la liste des ressources, sélectionnez une ressource et cliquez sur Supprimer.
Pool d'adresses IP virtuelles
Cette liste répertorie les adresses IP internes utilisées par les utilisateurs de Mobile VPN sur le tunnel.
Pour ajouter une adresse IP ou une adresse IP réseau au pool d'adresses IP virtuelles, cliquez sur Ajouter . Sélectionnez Hôte IPv4 ou Réseau IPv4, entrez l'adresse et cliquez sur OK.
Pour la supprimer du pool d'adresses IP virtuelles, sélectionnez un hôte ou une adresse IP réseau et cliquez sur Supprimer.
Vous devez utiliser les adresses IP du pool d'adresses IP virtuelles à cette fin uniquement sur votre réseau.
Pour plus d'informations sur les adresses IP virtuelles, consultez Adresses IP Virtuelles et Mobile VPN.
- Sélectionnez l'onglet Avancé.
La page Avancé apparaît.
- Configurez les paramètres Gestion de ligne :
Mode de connexion
Manuel — Dans ce mode, le client n'essaie pas de redémarrer automatiquement le tunnel VPN si le tunnel VPN n'est pas actif. Cela est le paramètre par défaut.
Pour redémarrer le tunnel VPN, vous devez cliquer sur le bouton Connecter dans Connection Monitor, ou faire un clic droit sur l'icône Mobile VPN sur votre barre d'outils du bureau Windows et cliquer sur Connecter.
Automatique — Dans ce mode, le client essaie de démarrer la connexion lorsque votre ordinateur envoie des données à une destination accessible par le réseau VPN. Le client essaie également de redémarrer le tunnel VPN automatiquement si le tunnel VPN devient indisponible.
Variable — Dans ce mode, le client essaie de redémarrer le tunnel VPN automatiquement jusqu'à ce que vous cliquiez sur Déconnecter. Après la déconnexion, le client n'essaie pas de redémarrer le tunnel VPN tant que vous ne cliquez pas sur Connecter.
Délai d'inactivité
Si le Mode de Connexion est défini sur Automatique ou Variable, le logiciel client Mobile VPN with IPSec n'essaie pas de renégocier la connexion VPN tant qu'aucun trafic provenant des ressources réseau disponibles ne passe par le tunnel pendant la durée que vous avez indiqué comme Délai d'inactivité.
Les paramètres par défaut de gestion de ligne sont Manuelle et 0 seconde. Si vous modifiez l'un de ces paramètres, vous devez utiliser le fichier .ini pour configurer le logiciel client.
- Cliquez sur Sauvegarder.
La page Mobile VPN with IPSec s'ouvre et le nouveau groupe IPSec apparaît dans la liste des groupes. - Cliquez sur Sauvegarder.
- Sélectionnez VPN > Mobile VPN > IPSec.
La boîte de dialogue Configuration de Mobile VPN with IPSec s'affiche.
- Cliquez sur Ajouter.
L'assistant Add Mobile VPN with IPSec Wizard s'affiche.
- Cliquez sur Suivant.
L'écran Sélectionner un serveur d'authentification utilisateur apparaît.
- Dans la liste déroulante Serveur d'authentification, sélectionnez un serveur d'authentification.
Vous pouvez authentifier les utilisateurs sur le Firebox (Firebox-DB) ou sur un serveur RADIUS, VASCO, SecurID, LDAP ou Active Directory. Vérifiez que cette méthode d'authentification est activée dans Policy Manager. Sélectionnez Configuration > Authentification > Serveurs d'authentification pour afficher ces paramètres.
- Dans la zone de texte Nom de Groupe, saisissez le nom du groupe.
Vous pouvez saisir le nom d'un groupe Mobile VPN que vous avez déjà créé ou le nom d'un nouveau groupe Mobile VPN. Vérifiez que le nom est unique et qu'il n'a pas été attribué à des noms de groupes VPN, d'interface ou de tunnel.
Pour plus d'informations sur l'authentification de groupe VPN, consultez Types d'authentification Firebox.
Si vous créez un groupe d'utilisateurs Mobile VPN s'authentifiant sur un serveur d'authentification externe, créez sur le serveur un groupe portant le nom du serveur spécifié dans l'assistant pour le groupe Mobile VPN. Si vous utilisez Active Directory comme serveur d'authentification, les utilisateurs doivent appartenir à un groupe de sécurité Active Directory du même nom que le nom de groupe que vous avez configuré pour Mobile VPN with IPSec. Pour de plus amples informations, consultez la section Configurer le serveur d'authentification externe.
- Cliquez sur Suivant.
L'écran Sélectionner une méthode d'authentification de tunnel apparaît.
- Sélectionnez une option d'authentification de tunnel :
- Utilisez ce mot de passe
Tapez puis confirmez le mot de passe. - Utilisez un certificat RSA publié par votre WatchGuard Management Server
Entrez l'Adresse IP de votre Management Server ainsi que le Mot de passe Administrateur.
Pour plus d'informations sur l'utilisation d'un certificat RSA, consultez Certificats pour l'authentification des tunnels mobile VPN with IPSec.
- Cliquez sur Suivant.
L'écran Diriger le flux du trafic Internet apparaît.
- Sélectionnez une option de trafic Internet :
- Non, autoriser le trafic Internet à accéder directement au fournisseur de services Internet des utilisateurs mobiles.
(Tunneling fractionné) - Oui, obliger tout le trafic Internet à passer par l'intermédiaire du tunnel.
(VPN avec route par défaut)
Pour plus d'informations sur le tunneling fractionné et la route VPN par défaut, consultez Options pour l'accès à internet par le biais d'un tunnel Mobile VPN with IPSec.
- Cliquez sur Suivant.
L'écran Identifier les ressources accessibles via le tunnel apparaît.
- Cliquez sur Ajouter pour indiquer les adresses IP de l'hôte ou du réseau auxquelles les utilisateurs peuvent se connecter par l'intermédiaire du tunnel VPN.
- Cliquez sur Suivant.
L'écran Créer le pool d'adresses IP virtuelles apparaît.
- Cliquez sur Ajouter pour ajouter une adresse IP ou une plage d'adresses IP.
Pour ajouter d'autres adresses IP virtuelles, répétez cette opération.
Une adresse IP issue d'un pool d'adresses virtuelles est attribuée aux utilisateurs Mobile VPN lorsqu'ils se connectent à votre réseau. Le nombre d'adresses IP d'un pool d'adresses IP virtuelles doit être identique au nombre d'utilisateurs Mobile VPN.
Les adresses IP virtuelles ne doivent pas appartenir au sous-réseau des réseaux locaux. Vous devez utiliser des adresses IP virtuelles uniquement dédiées à cette fin sur votre réseau.
Pour plus d'informations sur les adresses IP virtuelles, consultez Adresses IP Virtuelles et Mobile VPN.
- Cliquez sur Suivant.
Si vous avec utilisé un certificat pour l'authentification de tunnel, l'écran Chiffrer le fichier de configuration VPN s'affiche.
- Entrez en confirmez le mot de passe à utiliser pour chiffrer le fichier de configuration .wgx et le certificat PKCS#12 enregistrés lorsque vous avez généré le fichier de configuration VPN depuis Policy Manager.
Si vous utilisez un mot de passe pour l'authentification de tunnel, l'assistant ignore cette étape et le mot de passe du tunnel que vous avez spécifié précédemment est utilisé pour chiffrer le fichier de configuration VPN.
- Cliquez sur Suivant.
L'écran « L'assistant Add Mobile VPN with IPSec Wizard s'est terminé correctement » apparaît.
- Pour ajouter des utilisateurs au nouveau groupe Mobile VPN with IPSec, cochez la case Ajouter des utilisateurs.
- Cliquez sur Terminer.
Le fichier de configuration des groupes d'utilisateurs finaux Mobile VPN with IPSec est disponible dans l'emplacement indiqué à l'écran.
Lorsque vous ajoutez un groupe Mobile VPN with IPSec, une stratégie Mobile VPN with IPSec de type Tout est automatiquement créée pour permettre à l'ensemble du trafic des utilisateurs du groupe d'accéder aux ressources disponibles par l'intermédiaire du tunnel. Pour plus d'informations sur les stratégies Mobile VPN with IPSec : consultez Configurer les Stratégies pour Filtrer le Trafic IPSec Mobile VPN.
Les utilisateurs membres du groupe que vous créez ne peuvent pas se connecter tant qu'ils n'importent pas le fichier de configuration correct dans leur logiciel client Mobile VPN IPSec WatchGuard. Vous devez générer un fichier de configuration puis le distribuer à vos utilisateurs finaux. Pour plus d'informations, consultez Générer les fichiers de configuration Mobile VPN with IPSec
Si les utilisateurs ne parviennent pas à se connecter au VPN ou aux ressources réseau, contrôlez les causes fréquentes suivantes :
- Paramètres DNS incorrects
- Stratégies désactivées ou supprimées
- Paramètres de groupe d'utilisateurs incorrects
- Chevauchement des pools d'adresses IP
- Paramètres de route incorrects