Contents

Rubriques Connexes

Modifier la Configuration Mobile VPN with L2TP

Nous vous conseillons d'utiliser l'assistant d'installation WatchGuard L2TP Setup Wizard pour effectuer une première installation d'un Mobile VPN with L2TP. Pour plus d'informations, voir Utiliser l'Assistant d'Installation WatchGuard L2TP Setup Wizard.

Pour modifier la configuration Mobile VPN with L2TP, dans Fireware Web UI :Closed
  1. Sélectionnez VPN > Mobile VPN with L2TP.
  2. Cliquez sur Configurer.
    La page Mobile VPN with L2TP s'affiche.
  1. Cochez la case Activer Mobile VPN with L2TP si Mobile VPN with L2TP n'est pas activé.
    Mobile VPN with L2TP est activé et IPSec est activé dans la configuration par défaut.
  2. Utilisez les informations des sections suivantes pour configurer les paramètres Mobile VPN with L2TP.
Pour modifier la configuration Mobile VPN with L2TP, dans Policy Manager :Closed
  1. Sélectionnez VPN > Mobile VPN > L2TP > Configurer.
    La boîte de dialogue Configuration Mobile VPN with L2TP s'affiche.
  1. Cochez la case Activer Mobile VPN with L2TP si Mobile VPN with L2TP n'est pas activé.
    Mobile VPN with L2TP est activé et IPSec est activé dans la configuration par défaut.
  2. Utilisez les informations des sections suivantes pour configurer les paramètres Mobile VPN with L2TP.

Vous ne pouvez activer IPSec dans la configuration Mobile VPN with L2TP si la configuration du périphérique dispose déjà d'une passerelle VPN Branch Office qui utilise le mode principal et d'une passerelle distante avec une adresse IP dynamique. Lorsque vous activez Mobile VPN with L2TP, les paramètres IPSec dans la configuration L2TP sont activés par défaut. Si IPSec ne peut être activé à cause d'une configuration de Branch Office VPN existante, un message d'alerte s'affiche lorsque vous activez Mobile VPN with L2TP. Vous pouvez choisir d'activer L2TP sans IPSec. Cette solution moins sécurisée n'est pas recommandée.

Modifier le Pool d'Adresses IP Virtuelles

Dans l'onglet Réseau, le Pool d'Adresses IP Virtuelles affiche les adresses IP internes qui sont utilisées par les utilisateurs Mobile VPN with L2TP sur le tunnel. Le Firebox utilise ces adresses uniquement si cela est nécessaire. Le pool d'adresses IP virtuelles doit contenir au moins deux adresses IP.

Pour plus d'informations sur les adresses IP virtuelles, consultez Adresses IP Virtuelles et Mobile VPN.

Pour faire des ajouts au pool d'adresses IP virtuelles :

  1. Dans la section Pool d'Adresses IP Virtuelles, cliquez sur Ajouter.
    La boîte de dialogue Ajouter un Pool d'adresses apparaît.
  2. Dans la liste déroulante Choisir le type, choisissez l'une de ces options :
    • Hôte IPv4 — pour ajouter une seule adresse IPv4
    • Réseau IPv4 — pour ajouter une adresse réseau IPv4
    • Plage d'hôtes IPv4 — pour ajouter une plage d'adresses IPv4
  3. Entrez l'adresse IP d'hôte, l'adresse IP réseau ou la plage d'adresses IP à ajouter.
  4. Cliquez sur OK.

Pour supprimer une adresse IP ou une plage d'adresses du pool d'adresses IP virtuelles :

  1. Sélectionnez l'adresse IP que vous voulez supprimer.
  2. Cliquez sur Supprimer.

Modifier les paramètres réseau

Vous pouvez configurer différents paramètres réseau dans l'onglet Réseau de la boîte de dialogue Configuration Mobile VPN with L2TP. Dans la plupart des configurations L2TP, les valeurs par défaut sont préférables. Nous vous conseillons de ne pas modifier ces valeurs, sauf si vous êtes certain que ce changement corrige un problème connu.

Les paramètres que vous pouvez configurer sont :

Délai de conservation d'activité

Ce paramètre spécifie la fréquence à laquelle le Firebox envoie le « Bonjour » L2TP. La valeur par défaut est 60 secondes.

Délai de retransmission

Ce paramètre indique la durée d'attente d'un accusé de réception du message par le Firebox. Un message sera à nouveau transmis si le Firebox ne reçoit pas d'accusé de réception dans ce délai. La valeur par défaut est 5 secondes.

Nombre maximal de nouvelles tentatives

Ce paramètre spécifie le nombre maximum de fois que le Firebox retransmettra un message. Si le nombre maximal de tentatives est dépassé, le Firebox ferme la connexion. La valeur par défaut est 5.

Maximum Transmission Unit (MTU)

Ce paramètre spécifie la taille maximum du paquet reçu dans la session PPP par le tunnel L2TP. La valeur par défaut est de 1 400 octets.

Maximum Receive Unit (MRU)

Ce paramètre spécifie la taille maximum du paquet envoyé dans la session PPP par le tunnel L2TP. La valeur par défaut est de 1 400 octets.

Modifier les paramètres d'authentification

L'onglet Authentification vous permet de configurer les serveurs d'authentification ainsi que les utilisateurs et les groupes autorisés.

Configuration des Serveurs d'authentification

Les noms des Paramètres de serveur d'authentification dans Fireware Web UI sont légèrement différents de ceux de Policy Manager.

Pour sélectionner les serveurs d'authentification à utiliser, dans Fireware Web UI :Closed
  1. Sur la page Mobile VPN with L2TP, sélectionnez l'onglet Authentification.
  1. Dans la section Paramètres de serveur d'authentification, cochez la case de chaque serveur d'authentification que vous souhaitez utiliser pour l'authentification des utilisateurs avec Mobile VPN with L2TP. Vous pouvez utiliser la base de données interne du Firebox (Firebox-DB) ou un serveur RADIUS si vous en avez configuré un.
    Pour plus d'informations sur les méthodes d'authentification des utilisateurs pour le L2TP, consultez À propos de l'Authentification des Utilisateurs L2TP
  2. Si vous avez choisi plusieurs serveurs d'authentification, sélectionnez le serveur que vous choisissez comme serveur par défaut. Cliquez sur Définir par défaut pour déplacer ce serveur en haut de la liste.
Pour sélectionner les serveurs d'authentification à utiliser, dans Policy Manager :Closed
  1. Dans la boîte de dialogue Configuration de Mobile VPN with L2TP, sélectionnez l'onglet Authentification.
  1. Dans la section Paramètres de serveur d'authentification, cochez la case de chaque serveur d'authentification que vous souhaitez utiliser pour l'authentification des utilisateurs avec Mobile VPN with L2TP. Vous pouvez utiliser la base de données interne du Firebox (Firebox-DB) ou un serveur RADIUS si vous en avez configuré un.
    Pour plus d'informations sur les méthodes d'authentification des utilisateurs pour le L2TP, consultez À propos de l'Authentification des Utilisateurs L2TP
  2. Si vous avez choisi plusieurs serveurs d'authentification, sélectionnez le serveur que vous choisissez comme serveur par défaut. Cliquez sur Définir par défaut pour déplacer ce serveur en haut de la liste.

Si vous sélectionnez plus d'un serveur d'authentification, les utilisateurs qui emploient le serveur d'authentification personnalisé doivent spécifier le serveur d'authentification ou le domaine comme faisant partir de leur nom d'utilisateur. Pour plus d'informations et pour voir des exemples, consultez Se Connecter à partir d'un Client L2TP VPN .

Configuration des utilisateurs et des groupes

Si vous utilisez Firebox-DB pour l'authentification, vous devez utiliser le groupe L2TP-Users créé par défaut. Vous pouvez ajouter les noms d'autres groupes et utilisateurs utilisant Mobile VPN with L2TP. Pour chaque groupe ou utilisateur que vous ajoutez, vous pouvez sélectionner le serveur d'authentification où le groupe existe, ou sélectionner Tout si ce groupe existe sur plus d'un serveur d'authentification. Le nom du groupe ou de l'utilisateur que vous ajoutez doit exister sur le serveur d'authentification. Les noms de groupe et d'utilisateur sont sensibles à la casse et doivent correspondre exactement aux noms sur votre serveur d'authentification.

Pour configurer des utilisateurs et des groupes à authentifier avec Mobile VPN with L2TP, dans Fireware Web UI :

  1. Dans la section Authentification d'utilisateurs et de groupes, cliquez sur Ajouter.
    La zone de texte Ajouter une Authentification d'Utilisateur ou de Groupe s'affiche.
  2. Définissez le Type comme Groupe ou Utilisateur.
  3. Dans la zone de texte Nom, tapez le nom de l'utilisateur ou du groupe.
  4. Dans la liste déroulante Serveur d'authentification, sélectionnez le serveur d'authentification où l'utilisateur ou le groupe existe. Vous pouvez également sélectionner Tous si le groupe peut être utilisé avec tous les serveurs d'authentification sélectionnés.
  5. Cliquez sur OK.

Pour configurer des utilisateurs et les groupes à authentifier avec Mobile VPN with L2TP :

  1. Dans la section Utilisateurs et groupes autorisés, définissez le Type comme Groupe ou Utilisateur.
  2. Dans la zone de texte Nom, tapez le nom de l'utilisateur ou du groupe.
  3. Dans la liste déroulante Serveur d'authentification, sélectionnez le serveur d'authentification où l'utilisateur ou le groupe existe. Vous pouvez également sélectionner Tous si le groupe peut être utilisé avec tous les serveurs d'authentification sélectionnés.
  4. Cliquez sur Ajouter.

Pour plus d'informations sur les méthodes d'authentification des utilisateurs pour le L2TP, consultez À propos de l'Authentification des Utilisateurs L2TP

Lorsque vous ajoutez un utilisateur ou un groupe et que vous sélectionnez Firebox-DB comme le serveur d'authentification, ceci n'ajoute pas automatiquement l'utilisateur ou le groupe à Firebox-DB. Vérifiez que tous les utilisateurs ou groupes que vous ajoutez qui utilisent l'authentification Firebox-DB sont aussi configurés dans les paramètres d'authentification Firebox. Pour plus d'informations, voir Configurer votre Firebox en tant que Serveur d'Authentification.

Modifier les paramètres L2TP IPSec

Mobile VPN with L2TP peut fonctionner avec ou sans l'IPSec activé. L2TP avec IPSec assure un chiffrement et une authentification forts. Le L2TP sans IPSec ne garantit pas une authentification et un chiffrement forts. Nous vous conseillons de ne pas désactiver IPSec dans la configuration Mobile VPN with L2TP.

Lorsque vous activez Mobile VPN with L2TP, IPSec est activé par défaut. Le seul paramètre IPSec que vous devez configurer est la méthode d'informations d'identification pour l'authentification. Les autres paramètres IPSec de Phase 1 sont définis à leur valeur par défaut. Les paramètres par défaut d'IPSec de Phase 1 et Phase 2 sont similaires aux paramètres par défaut de Phase 1 et Phase 2 dans un réseau Branch Office VPN. Vous pouvez les modifier pour les faire correspondre aux paramètres IPSec des clients L2TP que vous utilisez. Les paramètres IPSec des clients L2TP doivent correspondre aux paramètres dans la configuration Mobile VPN with L2TP.

Activer ou désactiver IPSec

  1. Sélectionnez l'onglet IPSec.
  2. Pour désactiver IPSec pour L2TP, décochez la case Activer IPSec.
    Pour activer IPSec pour L2TP, cochez la case Activer IPSec.

Configurer les paramètres IPSec de Phase 1

Lorsque IPSec est activé, vous devez configurer la méthode d'authentification de tunnel dans les paramètres IPSec de Phase 1. Vous pouvez configurer la méthode d'authentification de tunnel dans l'assistant WatchGuard L2TP Setup Wizard ou à partir de l'onglet IPSec.

Pour configurer la méthode d'authentification de tunnel IPSec, dans Fireware Web UI :Closed
  1. Sur la page Mobile VPN with L2TP, sélectionnez l'onglet IPSec.
  1. Sélectionnez l'onglet Paramètres de phase 1.
  2. Sélectionnez une option pour l'authentification de tunnel IPSec. Deux options sont possibles :

Utiliser une clé pré-partagée

Entrez la clé partagée. Vous devez utiliser la même clé pré-partagée dans les paramètres IPSec sur les clients L2TP. La clé partagée peut comporter jusqu'à 79 caractères.

Utiliser IPSec Firebox Certificat

Sélectionnez le certificat à utiliser dans le tableau. Vous devez avoir déjà importé un certificat dans le Firebox pour pouvoir utiliser cette option.

Pour plus d'informations concernant les certificats IPSec, consultez Certificats pour l'authentification des tunnels Mobile VPN with L2TP.

La configuration L2TP IPSec par défaut contient trois jeux de transformations par défaut figurant dans la liste des Paramètres de Transformation :

  • SHA-1, AES(256) et Diffie-Hellman Groupe 2
  • SHA-1, AES(256) et Diffie-Hellman Groupe 20
  • SHA2-256, AES(256) et Diffie-Hellman Groupe 14

Vous pouvez :

  • Utiliser les jeux de transformations par défaut.
  • Supprimez les jeux de transformations et remplacez-les par de nouveaux.
  • Ajoutez des transformations supplémentaires, comme indiqué dans Ajouter une transformation de Phase 1 de L2TP IPSec.

Dans la section Avancé, vous pouvez configurer les paramètres de Parcours NAT et de Détection DPD (Dead Peer Detection).

Pour configurer la méthode d'authentification de tunnel IPSec, dans Policy Manager :Closed
  1. Dans la boîte de dialogue Configuration de Mobile VPN with L2TP, sélectionnez l'onglet IPSec.
  1. Sélectionnez l'onglet Paramètres de phase 1.
  2. Sélectionnez une option pour l'authentification de tunnel IPSec. Deux options sont possibles :

Utiliser une clé pré-partagée

Entrez la clé partagée. Vous devez utiliser la même clé pré-partagée dans les paramètres IPSec sur les clients L2TP. La clé partagée peut comporter jusqu'à 79 caractères.

Utiliser un certificat IPSec

Sélectionnez le certificat à utiliser dans le tableau. Vous devez avoir déjà importé un certificat dans le Firebox pour pouvoir utiliser cette option.

Pour plus d'informations concernant les certificats IPSec, consultez Certificats pour l'authentification des tunnels Mobile VPN with L2TP.

La configuration L2TP IPSec par défaut contient trois jeux de transformations par défaut figurant dans la liste des Paramètres de Transformation :

  • SHA-1, AES(256) et Diffie-Hellman Groupe 2
  • SHA-1, AES(256) et Diffie-Hellman Groupe 20
  • SHA2-256, AES(256) et Diffie-Hellman Groupe 14

Vous pouvez :

  • Utiliser les jeux de transformations par défaut.
  • Supprimez les jeux de transformations et remplacez-les par de nouveaux.
  • Ajoutez des transformations supplémentaires, comme indiqué à la rubrique Ajouter une Transformation L2TP IPSec de Phase 1.

Pour définir les paramètres avancés IPSec de Phase 1, cliquez sur Avancé.

Pour plus d'informations concernant les paramètres avancés de Phase 1, consultez Configurer les Paramètres Avancés de la Phase 1 de L2TP IPSec.

Configurer les paramètres IPSec de Phase 2

Les paramètres IPSec de Phase 2 comprennent les paramètres d'une association de sécurité (SA) définissant le mode de sécurisation des paquets de données lors de leur transmission entre deux points de terminaison. L'association de sécurité conserve toutes les informations nécessaires pour que Firebox sache comment traiter le trafic entre les points de terminaison. Les paramètres de l'association de sécurité peuvent comprendre les éléments suivants :

  • algorithmes de chiffrement et d'authentification utilisés ;
  • durée de vie de l'association de sécurité (en secondes ou en nombre d'octets, ou les deux) ;
  • adresse IP du périphérique pour lequel l'association de sécurité est établie (à savoir le périphérique qui gère le chiffrement et le déchiffrement IPSec de l'autre côté du VPN, et non l'ordinateur situé derrière qui envoie ou reçoit du trafic) ;
  • adresses IP source et de destination du trafic auquel l'association de sécurité s'applique ;
  • sens du trafic auquel l'association de sécurité s'applique (il y a une association de sécurité pour chaque sens, c'est-à-dire pour le trafic entrant et pour le trafic sortant).
Pour configurer les paramètres de Phase 2, dans Fireware Web UI : Closed
  1. Sur la page Mobile VPN with L2TP, sélectionnez l'onglet IPSec.
  2. Sélectionnez l'onglet Paramètres de phase 2.
  1. Cochez la case Activer Perfect Forward Secrecy si vous souhaitez activer le Perfect Forward Secrecy (PFS).

Le mode PFS offre une plus grande protection aux clés qui sont créées au cours d'une session. Les clés générées avec le mode PFS ne sont pas produites à partir d'une clé antérieure. Si une clé antérieure est compromise après une session, les clés de la nouvelle session sont sécurisées.

L'option PFS est désactivée par défaut, car de nombreux clients L2TP ne la prennent pas en charge. Vérifiez que vos clients L2TP permettent le PFS avant de l'activer dans votre configuration Mobile VPN with L2TP.

  1. Si vous activez le mode PFS, sélectionnez le groupe Diffie-Hellman.

Pour plus d'informations sur les groupes Diffie-Hellman, consultez À propos des groupes Diffie-Hellman.

  1. Configurez les propositions de Phase 2. La configuration L2TP IPSec comprend trois propositions IPSec de Phase 2 par défaut figurant dans la liste des Propositions IPSec. Vous pouvez :
Pour configurer les paramètres de la Phase 2, dans Policy Manager : Closed
  1. Dans la boîte de dialogue Configuration de Mobile VPN with L2TP, sélectionnez l'onglet IPSec.
  2. Sélectionnez l'onglet Paramètres de phase 2.
  1. Activez la case à cocher PFS si vous souhaitez activer le Perfect Forward Secrecy (PFS).

Le mode PFS offre une plus grande protection aux clés qui sont créées au cours d'une session. Les clés générées avec le mode PFS ne sont pas produites à partir d'une clé antérieure. Si une clé antérieure est compromise après une session, les clés de la nouvelle session sont sécurisées.

L'option PFS est désactivée par défaut, car de nombreux clients L2TP ne la prennent pas en charge. Vérifiez que vos clients L2TP permettent le PFS avant de l'activer dans votre configuration Mobile VPN with L2TP.

  1. Si vous activez le mode PFS, sélectionnez le groupe Diffie-Hellman.

Pour plus d'informations sur les groupes Diffie-Hellman, consultez À propos des groupes Diffie-Hellman.

  1. Configurez les propositions de Phase 2. La configuration L2TP IPSec comprend trois propositions IPSec de Phase 2 par défaut figurant dans la liste des Propositions IPSec. Vous pouvez :

Lorsque vous activez Mobile VPN with L2TP, Policy Manager crée automatiquement deux stratégies pour permettre le trafic. Pour plus d'informations, voir À propos des Stratégies de L2TP.

Si les utilisateurs ne parviennent pas à se connecter au VPN ou aux ressources réseau, contrôlez les causes fréquentes suivantes :

  • Paramètres DNS incorrects
  • Stratégies désactivées ou supprimées
  • Paramètres de groupe d'utilisateurs incorrects
  • Chevauchement des pools d'adresses IP
  • Paramètres de route incorrects

Voir aussi

Mobile VPN with L2TP

Envoyer Vos Commentaires     Obtenir de l'Aide     Documentation Complète des Produits     Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.