Contents

Rubriques Connexes

Options pour l'accès à internet par le biais d'un tunnel Mobile VPN with L2TP

Lorsque vous configurez Mobile VPN pour vos utilisateurs distants, vous devez choisir si vous voulez que leur trafic Internet général transite par le tunnel VPN ou qu'il ignore le tunnel VPN. Votre choix peut nuire à la sécurité de votre réseau parce que le trafic Internet qui ne transite pas par le tunnel n'est ni filtré, ni chiffré
Dans votre configuration, vous spécifiez votre choix avec la route de tunnel que vous sélectionnez : VPN avec route par défaut ou VPN avec tunneling fractionné.

VPN avec route par défaut

L'option la plus sécurisée consiste à acheminer tout le trafic Internet des utilisateurs distants vers le Firebox par le biais du tunnel VPN. Le trafic est ensuite renvoyé à Internet. Dans cette configuration (appelée « VPN avec route par défaut »), le Firebox peut examiner tout le trafic et offrir une sécurité accrue mais cela provoque une augmentation de la puissance de traitement et de la bande passante utilisées. Lorsque vous utilisez un VPN avec route par défaut, une stratégie de traduction d'adresses réseau (NAT) dynamique doit inclure le trafic sortant en provenance du réseau distant. Les utilisateurs distants peuvent ainsi naviguer sur Internet lorsqu'ils envoient tout leur trafic au Firebox.

VPN avec tunneling fractionné

Une autre option de configuration consiste à activer le tunneling fractionné. Cette configuration permet aux utilisateurs de naviguer sur Internet sans avoir à envoyer le trafic Internet par le tunnel VPN. Le tunneling fractionné améliore les performances du réseau, mais diminue la sécurité car les stratégies que vous créez ne s'appliquent pas au trafic Internet. Si vous utilisez le tunneling fractionné, nous recommandons la mise en place d'un pare-feu logiciel sur chaque ordinateur client.

Le client VPN natif sur les périphériques Android et iOS ne prend pas en charge le tunneling fractionné.

Configuration de la route VPN par défaut pour Mobile VPN with L2TP 

Dans Windows XP, Windows 7 et Mac OS X, le paramètre par défaut d'une connexion L2TP est default-route. Votre Firebox doit être configuré avec la traduction d'adresses réseau (NAT) dynamique pour recevoir le trafic d'un utilisateur L2TP. Toute stratégie qui gère le trafic sortant à destination d'Internet et passant par le Firebox doit être configurée de manière à autoriser le trafic utilisateur L2TP.

Lorsque vous configurez votre route VPN par défaut :

  • Vérifiez que les adresses IP que vous avez ajoutées au pool d'adresses L2TP sont incluses dans votre configuration de traduction d'adresses réseau (NAT) dynamique sur le Firebox.
    Dans Policy Manager, sélectionnez Réseau > NAT.
  • Modifiez la configuration de votre stratégie pour autoriser les connexions issues de L2TP-Users par le biais de l'interface externe.
    Par exemple, si vous utilisez WebBlocker pour contrôler l'accès au Web, ajoutez le groupe L2TP-Users à la stratégie de proxy configurée, avec WebBlocker activé.

Configuration VPN avec tunneling fractionné pour Mobile VPN with L2TP

Si votre client VPN prend en charge le tunneling fractionné, modifiez les propriétés de la connexion L2TP sur l'ordinateur client afin que tout le trafic ne soit pas envoyé par le tunnel VPN.

Pour Windows 10, vous devez utiliser Windows PowerShell pour modifier la connexion L2TP VPN :

  1. Dans la barre de recherche Windows, saisissez powershell.
  2. Dans les résultats de recherche, sélectionnez Windows PowerShell.
    La fenêtre de l'interface de commande PowerShell apparaît.
  3. Pour voir la liste des VPN, saisissez cette commande : get-vpnconnection
    La configuration de tous les VPN de Windows disponibles apparaît dans la fenêtre PowerShell.
  4. Identifiez le nom de la connexion Mobile VPN L2TP que vous voulez modifier, par exemple Mon Mobile VPN.
  5. Pour activer le tunneling fractionné pour ce type de connexion VPN :
    set -vpnconnection -Name "Mon Mobile VPN" -SplitTunneling $true
  6. Pour désactiver le tunneling fractionné pour ce type de connexion VPN :
    set -vpnconnection -Name "Mon Mobile VPN" -SplitTunneling $false
  7. Pour quitter PowerShell, saisissez exit.

Pour activer le tunneling fractionné L2TP dans Windows 8 :

  1. Dans le menu Charm de Windows 8, sélectionnez Paramètres.
  2. Cliquez sur Panneau de Configuration.
  3. Sélectionnez Centre Réseau et Partage.
  4. Cliquez sur Modifier les Paramètres de la Carte.
  5. Faites un clic droit sur le nom de la connexion VPN.
  6. Cliquez sur Propriétés.
    La boîte de dialogue Propriétés de la Connexion VPN s'affiche.
  7. Sélectionnez l'onglet Networking (Gestion de réseau).
  8. Sélectionnez Protocole Internet Version 4 (TCP/IPv4) dans la liste et cliquez sur Propriétés.
  9. Dans l'onglet Général, cliquez sur Avancé.
    La boîte de dialogue Paramètres TCP/IP avancés apparaît.
  10. Dans l'onglet Paramètres IP, décochez la case Utiliser la passerelle par défaut sur le réseau distant.

Pour activer le tunneling fractionné L2TP dans Windows 7 :

  1. Sélectionnez Panneau de configuration > Réseau et Internet > Se connecter à un réseau.
  2. Faites un clic droit sur la connexion VPN L2TP puis sélectionnez Propriétés.
    La boîte de dialogue Propriétés VPN s'affiche.
  3. Sélectionnez l'onglet Networking (Gestion de réseau).
  4. Sélectionnez Protocole Internet Version 4 (TCP/IPv4) dans la liste et cliquez sur Propriétés.
  5. Cliquez sur Avancé.
    La boîte de dialogue Paramètres TCP/IP avancés apparaît.
  6. Dans l'onglet Paramètres IP, décochez la case Utiliser la passerelle par défaut sur le réseau distant.

À propos des Routes L2TP

Le routage L2TP est défini par l'ordinateur client. Si vous ne cochez pas la case Utiliser la passerelle par défaut sur le réseau distant, l'ordinateur client route le trafic via le tunnel VPN uniquement si la destination du trafic correspond à une route via le VPN sur l'ordinateur client.

La plupart des ordinateurs clients définissent la route en fonction de la classe de sous-réseau apparente de l'adresse IP virtuelle. Par exemple, une adresse IP virtuelle 10.0.10.25 fait partie du sous-réseau 10.0.0.0/8 de classe A selon la norme RFC-1918, donc le client crée une route vers ce sous-réseau entier pour la connexion VPN. Ce comportement de client est susceptible de varier en fonction du type et de la version du système d'exploitation de l'ordinateur.

Voir aussi

Ajouter des règles de traduction d'adresses réseau (NAT) dynamique

Envoyer Vos Commentaires     Obtenir de l'Aide     Documentation Complète des Produits     Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.