Rubriques Connexes
Utiliser le Client IPSec VPN Natif Mac OS X ou iOS
Les périphérique Apple iOS (iPhone, iPad et iPod Touch) et Mac OS X v10.6 et ultérieure incluent un client VPN IPSec Cisco natif. Vous pouvez utiliser ce client pour établir une connexion VPN IPSec avec un Firebox. Pour utiliser le client VPN IPSec natif pour vous connecter à votre Firebox, vous devez configurer les paramètres VPN de votre Firebox de manière à ce qu'ils correspondent à ceux des périphériques iOS et Mac OS X.
Pour les connexions VPN IPSec depuis un périphérique Mac OS X, vous pouvez aussi utiliser le Client VPN IPSec WatchGuard pour Mac OS X. Pour plus d'informations, consultez Installer le Logiciel Client IPSec Mobile VPN.
Pour un périphérique Mac OS X, vous devez configurer manuellement les paramètres dans le client VPN natif.
Vous pouvez utiliser le même profil Mobile VPN with IPSec pour les connexions VPN depuis des périphériques iOS et Android. Pour plus d'informations sur la configuration d'un client VPN sur un périphérique Android, consultez Utiliser Mobile VPN with IPSec avec un Périphérique Android.
Si votre périphérique Apple exécute iOS 9.3 ou une version ultérieure, vous pouvez utiliser SHA1 ou SHA2 ainsi que les Groupes Diffie-Hellman 2, 5 ou 14. Si votre périphérique Apple exécute une version antérieure d'iOS, utilisez SHA1 et le Groupe Diffie-Hellman 2.
Configurer le Firebox
De nombreux paramètres de configuration du tunnel VPN dans le client VPN des périphériques Mac OS X ou iOS ne sont pas configurables par l'utilisateur. Il est très important de configurer les paramètres sur votre Firebox de sorte qu'ils correspondent aux paramètres requis par le client VPN sur le périphérique Mac OS X ou iOS.
- Sélectionnez VPN > Mobile VPN with IPSec.
La page Mobile VPN with IPSec apparaît. - Cliquez sur Ajouter.
La page des paramètres Mobile VPN with IPSec s'affiche.
- Dans la zone de texte Nom, tapez le nom du groupe d'authentification auquel les utilisateurs de votre périphérique Mac OS X ou iOS appartiennent.
Vous pouvez saisir le nom d'un groupe existant ou celui d'un nouveau groupe Mobile VPN. Vérifiez que le nom est unique et qu'il n'a pas été attribué à des noms de groupes VPN, d'interface ou de tunnel VPN.
- Dans la liste déroulante Serveur d'authentification, sélectionnez un serveur d'authentification.
Vous pouvez authentifier les utilisateurs sur le Firebox (Firebox-DB) ou sur un serveur RADIUS, VASCO, SecurID, LDAP ou Active Directory. Vérifiez que la méthode d'authentification choisie est activée.
Si vous créez un groupe d'utilisateurs Mobile VPN s'authentifiant sur un serveur d'authentification externe, créez sur le serveur un groupe portant le nom du serveur spécifié dans l'assistant pour le groupe Mobile VPN. Si vous utilisez Active Directory comme serveur d'authentification, les utilisateurs doivent appartenir à un groupe de sécurité Active Directory du même nom que le nom de groupe que vous avez configuré pour Mobile VPN with IPSec. Pour de plus amples informations, consultez la section Configurer le serveur d'authentification externe.
- Tapez et confirmez le mot de passe à utiliser pour ce tunnel.
- Dans la section Adresses IP Firebox, tapez l'adresse IP externe principale ou le nom de domaine auxquels les utilisateurs Mobile VPN de ce groupe peuvent se connecter.
- Sélectionnez l'onglet Tunnel IPSec.
Les paramètres du tunnel IPSec s'affichent.
- Sélectionnez Utiliser le mot de passe du profil d'utilisateur final comme clé pré-partagée.
Cela est le paramètre par défaut. - Dans la liste déroulante Authentification, sélectionnez une variante SHA-2 ou SHA-1.
- Dans la liste déroulante Chiffrement, choisissez l'une des options suivantes :
- AES (128 bits)
- AES (256 bits)
- Dans la rubrique Paramètres de phase 1, cliquez sur Avancés.
Les paramètres avancés de phase 1 s'affichent.
- Définissez la Durée de Vie de la SA à 1 heure.
Le client VPN des périphériques Mac OS X ou iOS est configuré pour que la clé soit renouvelée au bout d'une heure. Si ce profil est utilisé uniquement pour des connexions par un client VPN sur des périphériques Mac OS X ou iOS, définissez la durée de vie de la SA à 1 heure pour assurer la concordance avec le paramètre du client.
Pour utiliser ce profil VPN avec l'ensemble des clients VPN pris en charge, définissez la Durée de Vie de la SA à 8 heures. Lorsque la Durée de Vie de la SA est fixée à 8 heures, les clients VPN Shrew Soft et les clients VPN Mobile IPSec WatchGuard renouvellent la clé au bout de 8 heures, mais le client VPN du périphérique OS X ou iOS utilise une valeur plus faible (1 heure).
- Dans la liste déroulante Groupe de clés, sélectionnez Groupe Diffie-Hellman 2.
- Ne modifiez aucun des autres paramètres avancés de phase 1.
- Cliquez sur OK.
- Dans la section Paramètres de phase 2, décochez la case PFS.
- Dans la section Paramètres de phase 2, cliquez sur Avancés.
Les paramètres avancés de phase 2 s'affichent.
- Dans la liste déroulante Authentification, sélectionnez une variante SHA-2 ou SHA1.
- Dans la liste déroulante Chiffrement, sélectionnez AES (128 bits) ou AES (256 bits).
- Dans les paramètres Forcer l'expiration de la clé, définissez la Durée d'expiration à 1 heure.
- Dans les paramètres Forcer l'expiration de la clé, décochez la case à cocher Trafic.
- Cliquez sur OK.
- Sélectionnez l'onglet Ressources.
- Cochez la case Autoriser tout le trafic à passer par le tunnel.
Vous configurez ainsi le tunnel sur un VPN avec route par défaut. Le client VPN sur les périphériques Mac OS X ou iOS ne prend pas en charge le tunneling fractionné. - Dans la liste Pool d'adresses IP virtuelles, ajoutez les adresses IP internes utilisées par les utilisateurs de Mobile VPN via le tunnel.
Pour ajouter une adresse IP ou une adresse IP réseau au pool d'adresses IP virtuelles, sélectionnez IP d'hôte ou IP du réseau, saisissez l'adresse et cliquez sur Ajouter.
Le nombre d'adresses IP doit être identique au nombre d'utilisateurs de Mobile VPN. Les adresses IP virtuelles n'ont pas besoin d'être sur le même sous-réseau que le réseau approuvé. Si FireCluster est configuré, vous devez ajouter deux adresses IP virtuelles par utilisateur de Mobile VPN.
Vous devez utiliser les adresses IP du pool d'adresses IP virtuelles à cette fin uniquement sur votre réseau.
- Cliquez sur Sauvegarder.
Veillez à ajouter tous les utilisateurs VPN au groupe d'authentification que vous avez sélectionné.
Pour apprendre à ajouter de nouveaux utilisateurs à un groupe d'utilisateurs du Firebox, consultez Définir un nouvel utilisateur pour l'authentification Firebox.
Pour commencer, utilisez Mobile VPN with IPSec Wizard pour configurer les paramètres de base :
- Sélectionnez VPN > Mobile VPN > IPSec.
La boîte de dialogue Configuration de Mobile VPN with IPSec s'affiche. - Cliquez sur Ajouter.
L'assistant Add Mobile VPN with IPSec Wizard s'affiche. - Cliquez sur Suivant.
La page Sélectionner un serveur d'authentification utilisateur s'affiche.
- Dans la liste déroulante Serveur d'authentification, sélectionnez un serveur d'authentification.
Vous pouvez authentifier les utilisateurs sur le Firebox (Firebox-DB) ou sur un serveur RADIUS, VASCO, SecurID, LDAP ou Active Directory. Vérifiez que la méthode d'authentification choisie est activée.
- Dans la zone de texte Nom du Groupe, tapez le nom du groupe d'authentification auquel les utilisateurs de périphériques Mac OS X ou iOS appartiennent.
Vous pouvez saisir le nom d'un groupe Mobile VPN que vous avez déjà créé ou le nom d'un nouveau groupe Mobile VPN. Vérifiez que le nom est unique et qu'il n'a pas été attribué à des noms de groupes VPN, d'interface ou de tunnel.
Si vous créez un groupe d'utilisateurs Mobile VPN s'authentifiant sur un serveur d'authentification externe, créez sur le serveur un groupe portant le nom du serveur spécifié dans l'assistant pour le groupe Mobile VPN. Si vous utilisez Active Directory comme serveur d'authentification, les utilisateurs doivent appartenir à un groupe de sécurité Active Directory du même nom que le nom de groupe que vous avez configuré pour Mobile VPN with IPSec. Pour de plus amples informations, consultez la section Configurer le serveur d'authentification externe.
- Cliquez sur Suivant.
La page Sélectionner une méthode d'authentification de tunnel s'affiche.
- Sélectionnez Utiliser ce mot de passe. Tapez puis confirmez le mot de passe.
- Cliquez sur Suivant.
La page Diriger le flux du trafic Internet s'affiche.
- Cochez Oui, obliger tout le trafic Internet à passer par l'intermédiaire du tunnel.
Vous configurez ainsi le tunnel sur un VPN avec route par défaut. Le client VPN sur les périphériques Mac OS X ou iOS ne prend pas en charge le tunneling fractionné. - Cliquez sur Suivant.
La page Identifier les ressources accessibles via le tunnel s'affiche.
Pour un VPN avec route par défaut, la configuration autorise automatiquement l'accès à toutes les adresses IP du réseau et à l'alias Tout-Externe.
- Cliquez sur Suivant.
La page Créer le pool d'adresses IP virtuelles s'affiche.
- Cliquez sur Ajouter pour ajouter une adresse IP ou une plage d'adresses IP.
Pour ajouter d'autres adresses IP virtuelles, répétez cette opération.
Une adresse IP issue d'un pool d'adresses virtuelles est attribuée aux utilisateurs Mobile VPN lorsqu'ils se connectent à votre réseau. Le nombre d'adresses IP d'un pool d'adresses IP virtuelles doit être identique au nombre d'utilisateurs Mobile VPN.
Les adresses IP virtuelles ne doivent pas appartenir au sous-réseau des réseaux locaux. Vous devez utiliser des adresses IP virtuelles uniquement dédiées à cette fin sur votre réseau.
- Cliquez sur Suivant.
- Pour ajouter des utilisateurs au nouveau groupe Mobile VPN with IPSec, cochez la case Ajouter des utilisateurs.
- Cliquez sur Terminer.
La configuration Mobile VPN que vous avez créée apparaît dans la boîte de dialogue Configuration de Mobile VPN with IPSec.
Ensuite, vous devez modifier les paramètres VPN de Phase 1 et de Phase 2 pour assurer la concordance avec les paramètres du client VPN du périphérique Mac OS X ou iOS.
- Dans la boîte de dialogue Configuration de Mobile VPN with IPSec, sélectionnez la configuration que vous venez d'ajouter.
- Cliquez sur Modifier.
La boîte de dialogue Modifier Mobile VPN with IPSec s'affiche. - Sélectionnez l'onglet Tunnel IPSec.
- Dans la liste déroulante Authentification, sélectionnez une variante SHA-2 ou SHA-1.
- Dans la liste déroulante Chiffrement, choisissez l'une des options suivantes :
- AES (128 bits)
- AES (256 bits)
- Dans la section Paramètres de Phase 1, cliquez sur Avancé.
La boîte de dialogue Paramètres avancés de phase 1 s'affiche.
- Définissez la Durée de vie de la SA à 1 heure.
Le client réseau privé VPN (Virtual Private Network) sur le périphérique Mac OS X ou iOS est configuré de sorte que la clé soit renouvelée au bout d'une heure. Si ce profil est utilisé uniquement pour des connexions par client VPN sur des périphériques Mac OS X ou iOS, définissez la durée de vie de la SA à 1 heure pour assurer la concordance avec le paramètre du client.
Pour utiliser ce profil VPN avec l'ensemble des clients VPN pris en charge, définissez la Durée de Vie de la SA à 8 heures. Lorsque la Durée de Vie de la SA est fixée à 8 heures, les clients VPN Shrew Soft et les clients VPN Mobile IPSec WatchGuard renouvellent la clé au bout de 8 heures, mais le client VPN du périphérique OS X ou iOS utilise une valeur plus faible (1 heure).
- Dans la liste déroulante Groupe de clés, sélectionnez Groupe Diffie-Hellman 2.
- Ne modifiez aucun des autres paramètres avancés de phase 1.
- Cliquez sur OK.
- Dans la section Paramètres de Phase 2, cliquez sur Proposition.
- Dans la liste déroulante Authentification, sélectionnez une variante SHA-2 ou SHA1.
- Dans la liste déroulante Chiffrement, sélectionnez AES (128 bits) ou AES (256 bits).
- Définissez Forcer l'expiration de la clé à 1 heure et à 0 kilo-octet.
- Dans les paramètres Forcer l'expiration de la clé, définissez la Durée d'expiration à 1 heure.
- Dans les paramètres Forcer l'expiration de la clé, décochez la case à cocher Trafic.
- Cliquez sur OK.
- Dans la boîte de dialogue Modification de Mobile VPN with IPSec, décochez la case PFS.
Le mode Perfect Forward Secrecy n'est pas pris en charge par le client VPN sur le périphérique iOS.
- Cliquez sur OK.
- Enregistrez le fichier de configuration dans votre Firebox.
Assurez-vous que les utilisateurs de périphériques Mac OS X ou iOS sont membres du groupe d'authentification que vous avez sélectionné.
Puis, ajoutez les paramètres que vous avez configurés sur votre Firebox aux paramètres du client VPN des périphériques Mac OS X ou iOS.
Configurer le Client Réseau Privé VPN (Virtual Private Network) sur un Périphérique iOS
Pour configurer manuellement les paramètres de client VPN sur le périphérique iOS :
- Sélectionnez Paramètres > Généraux > Réseau > VPN > Ajouter un configuration VPN.
- Configurez les paramètres suivants sur le client VPN :
- Serveur — Il s'agit de l'adresse IP externe du Firebox
- Compte — Il s'agit du nom d'utilisateur sur le serveur d'authentification
- Utiliser un certificat — Définissez cette option comme DÉSACTIVÉ
- Nom du Groupe — Il s'agit du nom de groupe que vous avez choisi dans la configuration Mobile VPN with IPSec du Firebox
- Secret — Il s'agit du mot de passe du tunnel que vous avez défini dans la configuration Mobile VPN with IPSec du Firebox
- Mot de passe de l'utilisateur — Il s'agit du mot de passe de l'utilisateur sur le serveur d'authentification
Après avoir ajouté la configuration VPN, un commutateur VPN apparaît dans le menu Paramètres sur le périphérique iOS.
Cliquez sur le sélecteur VPN pour activer ou désactiver le client VPN. Une fois la connexion VPN établie, l'icône VPN apparaît dans la barre d'état.
Le client VPN sur le périphérique iOS reste connecté au VPN uniquement durant l'utilisation du périphérique iOS. Si le périphérique iOS se verrouille, le client VPN risque de se déconnecter. Les utilisateurs peuvent se reconnecter manuellement à leurs clients VPN. Si les utilisateurs enregistrent leur mot de passe, ils ne sont pas invités à le saisir chaque fois que le client VPN se reconnecte. Si les utilisateurs n'enregistrent pas leur mot de passe, ils sont invités à le saisir chaque fois que le client se reconnecte.
L'application Mobile VPN iOS WatchGuard n'est plus disponible sur l'Apple Store.
Configurer le Client VPN sur un Périphérique Mac OS X
Le Firebox ne génère pas de fichier de configuration client pour le client VPN sur le périphérique Mac OS X. L'utilisateur doit configurer manuellement les paramètres du client VPN pour qu'ils correspondent aux paramètres configurés sur le Firebox.
Pour configurer les paramètres réseau privé VPN (Virtual Private Network) sur le périphérique Mac OS X :
- Ouvrez Préférences système et sélectionnez Réseau.
- Cliquez sur + au bas de la liste pour ajouter une nouvelle interface. Configurez ces paramètres :
- Interface — VPN
- Type VPN — Cisco IPSec
- Nom du Service — Saisissez le nom à utiliser pour cette connexion
- Cliquez sur Créer.
La nouvelle interface réseau privé VPN (Virtual Private Network) apparaît dans la liste des interfaces réseau. - Sélectionnez la nouvelle interface dans la liste. Modifiez les paramètres suivants :
- Adresse du Serveur — L'adresse IP externe du Firebox
- Nom du Compte — Il s'agit du nom d'utilisateur sur le serveur d'authentification
- Mot de passe — Il s'agit du mot de passe de l'utilisateur sur le serveur d'authentification
- Cliquez sur Paramètres d'authentification. Configurez ces paramètres :
- Secret partagé — Il s'agit du mot de passe du tunnel que vous avez défini dans la configuration Mobile VPN with IPSec du Firebox
- Nom du Groupe — Il s'agit du nom du groupe que vous avez choisi dans la configuration Mobile VPN with IPSec du Firebox
- Cochez la case Afficher l'état du VPN dans la barre de menu pour ajouter l'icône d'état du VPN dans la barre de menu OS X.
- Cliquez sur Connexion pour démarrer le tunnel VPN.
Après avoir appliqué ces paramètres, une icône d'état du VPN apparaît dans la barre de menu du périphérique Mac OS X.
Cliquez sur l'icône d'état du VPN pour établir ou interrompre la connexion client VPN.