Rubriques Connexes
Configurer le Firebox pour Mobile VPN with SSL
Lorsque vous activez Mobile VPN with SSL, un groupe d'utilisateurs SSLVPN-Utilisateurs et une stratégie WatchGuard SSLVPN sont automatiquement créés de manière à autoriser les connexions VPN SSL entre Internet et votre Firebox. Vous pouvez utiliser le groupe par défaut ou créer de nouveaux groupes en les nommant de manière identique aux groupes d'utilisateurs de vos serveurs d'authentification.
Lorsque vous activez un Management Tunnel over SSL sur Management Server WSM, certains des paramètres de configuration SSL sont identiques à ceux utilisés par Mobile VPN with SSL. Lorsque le Tunnel de gestion est activé, plusieurs des paramètres de la configuration de Mobile VPN with SSL ne peuvent être modifiés. Vous devez modifier ces paramètres partagés dans les propriétés du périphérique sur le serveur Management Server.
Étant donné que Management Tunnel over SSL et Mobile VPN utilisent le même serveur OpenVPN, si vous activez un Management Tunnel over SSL, certains des paramètres partagés avec les tunnels Mobile VPN with SSL sont à présent gérés par votre serveur Management Server. Vous ne pouvez pas modifier ces paramètres dans la configuration Mobile VPN with SSL. Ces paramètres incluent les adresses IP Firebox, la méthode réseau, le pool d'adresses IP virtuelles, les ressources VPN, le canal de données et le canal de configuration. Vous pouvez aussi désactiver le serveur d'authentification Firebox-DB, requis pour l'authentification au Tunnel de gestion.
Avant de Commencer
Avant de configurer Mobile VPN with SSL, choisissez la façon dont le Firebox doit envoyer ses données via le tunnel VPN. En fonction de l'option choisie, vous devrez parfois modifier votre configuration réseau avant d'activer Mobile VPN with SSL.
Vous pouvez configurer Mobile VPN with SSL pour utiliser une des deux méthodes suivantes pour prendre en charge le trafic VPN vers votre réseau :
Trafic VPN routé
Il s'agit de la sélection par défaut. Lorsque cette option est activée, le Firebox transmet le trafic du tunnel VPN vers tous les réseaux locaux approuvés, facultatifs et personnalisés ou vers les ressources d'un réseau spécifique.
Pont de Trafic VPN
Cette option vous permet d'établir un pont entre le trafic VPN SSL et un réseau approuvé, facultatif ou personnalisé. Lorsque vous sélectionnez cette option, vous ne pouvez pas filtrer le trafic entre les utilisateurs SSL VPN et le réseau auquel le trafic SSL VPN est relié par un pont. Lorsque vous pontez le trafic VPN vers un réseau, les utilisateurs VPN SSL se situent dans la même zone de sécurité que les autres utilisateurs du réseau de destination du pont et le trafic de ces utilisateurs mobiles est pris en charge par les mêmes stratégies de sécurité que le trafic des autres utilisateurs du réseau relié par le pont.
Par exemple, si vous pontez le trafic VPN vers une interface approuvée, toutes les stratégies autorisant le trafic de l'alias Tout-Approuvé autorisent également le trafic des utilisateurs se connectant au réseau avec Mobile VPN with SSL. L'option Pont de Trafic VPN n'étend pas le trafic VPN SSL vers d'autres réseaux secondaires du pont réseau sélectionné.
Si vous sélectionnez Ponter le Trafic VPN dans la configuration de Mobile VPN with SSL d'une machine virtuelle FireboxV ou XTMv, vous devez activer le mode de proximité sur le commutateur virtuel (vSwitch) correspondant dans VMware.
Le choix des interfaces pouvant être pontées au trafic VPN dépend de la version de Fireware exécutée par le périphérique :
- Fireware v11.8.x et les versions antérieures — Vous pouvez ponter le trafic VPN vers toutes les interfaces à l'exception des ponts LAN.
- Fireware v11.9 et les versions ultérieures — Vous pouvez ponter le trafic VPN uniquement vers un pont LAN.
Pour plus d'informations sur la configuration d'une interface avec pont, consultez Créer une configuration de pont réseau.
Si vous configurez Mobile VPN with SSL dans le Web UI, ne changez pas en interface avec pont l'interface que vous avez utilisé pour vous connecter au Web UI. Cela provoquerait une perte immédiate de la connexion de gestion du périphérique. Dans ce cas, vous devez utiliser une autre interface configurée pour vous reconnecter à Fireware Web UI.
Si vous souhaitez remplacer l'interface que vous utilisez pour gérer le périphérique par une interface de pont, nous vous recommandons d'effectuer cette modification dans Policy Manager. Vous pouvez apporter l'ensemble des modifications à la configuration de l'interface avant d'enregistrer le fichier de configuration mis à jour sur le périphérique.
Pour modifier l'interface approuvée ou facultative utilisée pour la gestion et choisir une interface de pont dans Fireware Web UI :
- Configurez une autre interface approuvée ou facultative pour l'utiliser comme interface de gestion temporaire.
- Connectez l'ordinateur de gestion à la nouvelle interface et connectez-vous au Web UI.
- Transformez l'interface de gestion d'origine en interface de pont et configurez un pont LAN comprenant cette interface.
- Connectez l'ordinateur de gestion à l'interface de gestion originale.
- Désactivez l'interface de gestion temporaire.
Pour des instructions détaillées, voir Créer une configuration de pont réseau.
Configurer les paramètres de connexion
- Sélectionnez VPN > Mobile VPN with SSL.
La page Configuration de Mobile VPN with SSL s'affiche.
- Cochez la case Activer Mobile VPN with SSL.
- Dans la zone de texte Principal, entrez une adresse IP publique ou un nom de domaine.
Il s'agit de l'adresse IP ou du nom de domaine auxquels les clients Mobile VPN with SSL se connectent par défaut. Il peut s'agir d'une adresse IP externe, d'une adresse IP externe secondaire ou d'un réseau local virtuel (VLAN) externe. Pour un périphérique en mode d'insertion, utilisez l'adresse IP attribuée à toutes les interfaces. - Si votre Firebox dispose de plusieurs adresses externes, saisissez une autre adresse IP publique dans la zone de texte Secondaire.
Il s'agit de l'adresse IP à laquelle le client Mobile VPN with SSL se connecte s'il ne peut pas établir de connexion à l'aide de l'adresse IP principale. Si vous ajoutez une adresse IP secondaire, assurez-vous qu'il s'agisse d'une adresse IP attribuée à un VLAN ou à une interface externe d'un Firebox. Si vous voulez que le client Mobile VPN with SSL utilise une adresse IP secondaire, vous devez également cocher la case Reconnexion automatique après perte de connexion dans les paramètres d'Authentification, tel que décrit dans la section suivante.
- Sélectionnez VPN >Mobile VPN > SSL.
La boîte de dialogue Configuration Mobile VPN with SSL apparaît.
- Cochez la case Activer Mobile VPN with SSL.
- Dans la zone de texte Principal, tapez ou sélectionnez une adresse IP publique ou un nom de domaine.
Il s'agit de l'adresse IP ou du nom de domaine auxquels les clients Mobile VPN with SSL se connectent par défaut. Il peut s'agir d'une adresse IP externe, d'une adresse IP externe secondaire ou d'un réseau local virtuel (VLAN) externe. Pour un périphérique en mode d'insertion, utilisez l'adresse IP attribuée à toutes les interfaces. - Si votre Firebox dispose de plusieurs adresses externes, dans la zone de texte Secours, entrez une autre adresse IP publique.
Il s'agit de l'adresse IP à laquelle le client Mobile VPN with SSL se connecte s'il ne peut pas établir de connexion à l'aide de l'adresse IP principale. Si vous ajoutez une adresse IP de secours, assurez-vous qu'il s'agisse d'une adresse IP attribuée à une interface externe ou un réseau local virtuel (VLAN). Si vous voulez que le client Mobile VPN with SSL utilise une adresse IP de secours, vous devez également cocher la case Reconnexion automatique après perte de connexion dans les paramètres d'Authentification.
Configurer les paramètres Mise en réseau et pool d'adresses IP
Dans la section Mise en réseau et pool d'adresses IP, vous configurez les ressources réseau que les clients Mobile VPN with SSL peuvent utiliser.
- Dans la liste déroulante de la section Réseau et pool d'adresses IP, sélectionnez la méthode utilisée par le Firebox pour envoyer le trafic via le tunnel VPN :
- Sélectionnez Pont Trafic VPN pour créer un pont pour le trafic SSL VPN vers un réseau que vous indiquez. Lorsque vous sélectionnez cette option, vous ne pouvez pas filtrer le trafic entre les utilisateurs SSL VPN et le réseau auquel le trafic SSL VPN est relié par un pont.
- Sélectionnez Trafic VPN routé pour acheminer le trafic VPN vers les réseaux et ressources indiqués. Il s'agit du paramètre par défaut pour tous les Firebox WatchGuard.
- Sélectionnez ou désélectionnez la case à cocher Forcer le trafic client à passer par le tunnel.
- Pour router par le tunnel tout le trafic du client VPN à destination de votre réseau privé et d'Internet, sélectionnez Forcer tout le trafic client à passer par le tunnel.
Cette option envoie tout le trafic externe aux stratégies Firebox que vous créez et offre une sécurité constante pour les utilisateurs mobiles. Toutefois, comme elle nécessite une plus grande puissance de traitement sur le Firebox, l'accès aux ressources Internet peut être très lent pour l'utilisateur mobile.
Pour savoir comment autoriser les clients à accéder à Internet quand cette option est sélectionnée, consultez Options pour l'accès à internet par le biais d'un tunnel Mobile VPN with SSL. - Pour ne faire transiter par le tunnel que le trafic du client VPN à destination de vos réseaux privés, décochez la case Forcer tout le trafic client à passer par le tunnel.
Cette option offre à vos utilisateurs des vitesses réseau plus élevées en routant uniquement via le Firebox le trafic à destination des ressources du réseau privé. Le reste du trafic Internet ne passe pas par le tunnel et n'est pas concerné par les stratégies de votre Firebox.- Pour permettre l'accès à tous les réseaux internes, sélectionnez Autoriser l'accès à tous les réseaux Approuvés, Facultatifs et Personnalisés.
- Pour limiter l'accès des clients Mobile VPN with SSL aux seuls périphériques précisés sur votre réseau privé, cochez la case Spécifier les ressources autorisées. Pour spécifier une ressource autorisée, entrez l'adresse IP de la ressource réseau en utilisant la notation de barre oblique et cliquez sur Ajouter.
- Pour router par le tunnel tout le trafic du client VPN à destination de votre réseau privé et d'Internet, sélectionnez Forcer tout le trafic client à passer par le tunnel.
- Configurez les adresses IP que le Firebox attribue aux connexions des clients Mobile VPN with SSL.
- Fireware v11.8.x et les versions antérieures — Vous pouvez ponter le trafic VPN vers toutes les interfaces à l'exception des ponts LAN.
- Fireware v11.9 et les versions ultérieures — Vous pouvez ponter le trafic VPN uniquement vers un pont LAN.
Trafic VPN routé
Pour le pool d'adresses IP virtuelles, conservez le paramètre par défaut 192.168.113.0/24, ou saisissez une autre plage. Saisissez l'adresse IP du sous-réseau en employant la notation de barre oblique. Les adresses IP de ce sous-réseau sont automatiquement attribuées aux connexions des clients Mobile VPN with SSL. Vous ne pouvez pas attribuer d'adresse IP à un utilisateur spécifique.
Pour éviter d'éventuels conflits d'adresse IP, WatchGuard vous recommande d'attribuer des adresses IP virtuelles n'appartenant pas à un réseau protégé par le Firebox ou accessible par l'intermédiaire d'une route ou d'un réseau BOVPN, attribuées par DHCP à un périphérique situé derrière le Firebox ou utilisées pour les pools d'adresses Mobile VPN with IPSec ou Mobile VPN with SSL. Si FireCluster est activé, le pool d'adresses IP virtuelles ne peut se trouver sur le même sous-réseau que l'adresse IP du cluster principal.
Sur les Firebox exécutant Fireware v11.12.4 ou une version antérieure, veillez à assigner des adresses IP virtuelles n'appartenant pas au pool d'adresses Mobile VPN with PPTP.
Trafic VPN pont
Dans la liste déroulante Pont vers l'interface, sélectionnez le nom de l'interface vers laquelle vous souhaitez créer un pont. Le choix des interfaces pouvant être pontées au trafic VPN dépend de la version de Fireware exécutée par le périphérique :
Pour plus d'informations, voir Avant de Commencer.
Dans les zones de texte Début et Fin, saisissez la première et la dernière adresse IP de la plage à attribuer aux connexions des clients Mobile VPN with SSL. Les adresses IP de début et de fin doivent être sur le même sous-réseau que l'interface reliée par un pont.
Pour plus d'informations sur les adresses IP virtuelles, consultez Adresses IP Virtuelles et Mobile VPN.
- Dans la liste déroulante de la section Réseau et pool d'adresses IP, sélectionnez la méthode par laquelle le Firebox envoie du trafic par le tunnel VPN.
- Sélectionnez Pont Trafic VPN pour créer un pont pour le trafic SSL VPN vers un réseau que vous indiquez. Lorsque vous sélectionnez cette option, vous ne pouvez pas filtrer le trafic entre les utilisateurs SSL VPN et le réseau auquel le trafic SSL VPN est relié par un pont.
- Sélectionnez Trafic VPN routé pour acheminer le trafic VPN vers les réseaux et ressources indiqués. Il s'agit du paramètre par défaut pour tous les Firebox WatchGuard.
- Sélectionnez ou désélectionnez la case à cocher Forcer le trafic client à passer par le tunnel.
- Pour router par le tunnel tout le trafic du client VPN à destination de votre réseau privé et d'Internet, sélectionnez Forcer tout le trafic client à passer par le tunnel.
Cette option envoie tout le trafic externe aux stratégies Firebox que vous créez et offre une sécurité constante pour les utilisateurs mobiles. Toutefois, comme elle nécessite une plus grande puissance de traitement sur le Firebox, l'accès aux ressources Internet peut être très lent pour l'utilisateur mobile.
Pour savoir comment autoriser les clients à accéder à Internet quand cette option est sélectionnée, consultez Options pour l'accès à internet par le biais d'un tunnel Mobile VPN with SSL. - Pour ne faire transiter par le tunnel que le trafic du client VPN à destination de vos réseaux privés, décochez la case Forcer tout le trafic client à passer par le tunnel.
Cette option envoie tout le trafic externe aux stratégies Firebox que vous créez et offre une sécurité constante pour les utilisateurs mobiles. Toutefois, comme elle nécessite une plus grande puissance de traitement sur le Firebox, l'accès aux ressources Internet peut être très lent pour l'utilisateur mobile.- Pour permettre l'accès à tous les réseaux internes, sélectionnez Autoriser l'accès à tous les réseaux Approuvés, Facultatifs et Personnalisés.
- Pour limiter l'accès des clients Mobile VPN with SSL aux seuls périphériques précisés sur votre réseau privé, cochez la case Spécifier les ressources autorisées. Pour spécifier une ressource autorisée, entrez l'adresse IP de la ressource réseau en utilisant la notation de barre oblique et cliquez sur Ajouter.
- Pour router par le tunnel tout le trafic du client VPN à destination de votre réseau privé et d'Internet, sélectionnez Forcer tout le trafic client à passer par le tunnel.
- Configurez les adresses IP que le Firebox attribue aux connexions des clients Mobile VPN with SSL. Si FireCluster est activé, le pool d'adresses IP virtuelles ne peut se trouver sur le même sous-réseau que l'adresse IP du cluster principal.
- Avec Fireware XTM v11.8.x et antérieure, vous pouvez relier le trafic VPN par un pont vers toutes les interfaces à l'exception des ponts LAN.
- Avec Fireware v11.9 et ultérieure, vous pouvez relier le trafic VPN par un pont vers un pont LAN uniquement.
Trafic VPN routé
Pour le pool d'adresses IP virtuelles, conservez le paramètre par défaut 192.168.113.0/24, ou saisissez une autre plage.
Pour éviter d'éventuels conflits d'adresse IP, nous vous recommandons d'attribuer des adresses IP virtuelles n'appartenant pas à un réseau protégé par le Firebox ou accessible par l'intermédiaire d'une route ou d'un réseau BOVPN, attribuées par DHCP à un périphérique situé derrière le Firebox ou utilisées pour les pools d'adresses Mobile VPN with IPSec ou Mobile VPN with SSL. Si FireCluster est activé, le pool d'adresses IP virtuelles ne peut se trouver sur le même sous-réseau que l'adresse IP du cluster principal.
Sur les Firebox exécutant Fireware v11.12.4 ou une version antérieure, veillez à assigner des adresses IP virtuelles n'appartenant pas au pool d'adresses Mobile VPN with PPTP.
Trafic VPN pont
Dans la liste déroulante Pont vers l'interface, sélectionnez le nom de l'interface vers laquelle vous souhaitez créer un pont. Le choix des interfaces pouvant être reliées au trafic VPN par un pont dépend de la version du Fireware que le périphérique utilise.
Pour plus d'informations, voir Avant de Commencer.
Dans les zones de texte Début et Fin, saisissez les première et dernière adresses IP de la plage à attribuer aux connexions clients Mobile VPN with SSL. Lorsque vous pontez le trafic VPN vers un pont LAN, les adresses IP de Début et de Fin doivent se trouver sur le même sous-réseau que l'interface pontée.
Pour plus d'informations sur les adresses IP virtuelles, consultez Adresses IP Virtuelles et Mobile VPN.
Configurer les paramètres d'authentification
Vous devez ensuite configurer les paramètres d'authentification. Vous pouvez sélectionner un ou plusieurs serveurs d'authentification configurés à utiliser. Le serveur en haut de la liste est le serveur par défaut. Le serveur par défaut est utilisé pour l'authentification si l'utilisateur ne spécifie pas de serveur ou de domaine d'authentification dans le client Mobile VPN with SSL.
Veillez à créer sur le serveur un groupe portant le même nom que celui que vous avez ajouté dans l'Assistant du groupe Mobile VPN. Si vous utilisez Active Directory comme serveur d'authentification, les utilisateurs doivent appartenir à un groupe de sécurité Active Directory du même nom que le nom de groupe que vous avez configuré pour Mobile VPN with SSL. Pour plus d'informations, voir Configurer le serveur d'authentification externe.
Sélectionner les Serveurs d'Authentification
Sur la page Mobile VPN with SSL :
- Sélectionnez l'onglet Authentification.
Une liste des Serveurs d'authentification configurés apparaît.
- Cochez la case de chaque serveur d'authentification que vous souhaitez utiliser pour l'authentification des utilisateurs avec Mobile VPN with SSL. Vous pouvez sélectionner n'importe quel serveur d'authentification activé : la base de données interne (Firebox-DB) du Firebox ou un serveur RADIUS, VACMAN Middleware, SecurID, LDAP ou Active Directory.
Seuls les domaines et serveurs de méthode d'authentification activés sont repris dans la liste. Pour plus d'informations sur les méthodes d'authentification prises en charge, consultez Types de serveurs d'authentification. - Si vous avez choisi plusieurs serveurs à utiliser pour l'authentification, sélectionnez un serveur par défaut. Cliquez sur Par défaut pour déplacer ce serveur en haut de la liste.
Si un utilisateur ne spécifie pas de serveur d'authentification dans la zone de texte Nom d'utilisateur lorsqu'il utilise un client Mobile VPN with SSL pour l'authentification, Mobile VPN with SSL utilise le serveur d'authentification par défaut. - Cochez la case Reconnexion automatique en cas de perte de connexion si vous désirez que le client Mobile VPN with SSL se reconnecte automatiquement. Si vous activez cette option, l'utilisateur mobile peut cocher une case sur le client Mobile VPN with SSL pour choisir si le client doit se reconnecter automatiquement. Vous devez également activer cette option si vous voulez que le client utilise automatiquement les adresses IP secondaires lorsqu'il ne peut pas se connecter à l'adresse IP principale.
- Cochez la case Forcer les utilisateurs à s'authentifier en cas de perte de connexion pour obliger les utilisateurs à s'authentifier suite à une perte de connexion Mobile VPN with SSL. WatchGuard vous recommande de cocher cette case si vous avez recours à l'authentification à deux facteurs employant un mot de passe à usage unique telle que RADIUS, SecurID ou VASCO. Si vous ne forcez pas les utilisateurs à s'authentifier après la perte d'une connexion, la tentative de connexion automatique peut échouer. En effet, le client Mobile VPN with SSL tente de se reconnecter automatiquement après la perte de connexion à l'aide du mot de passe à usage unique que l'utilisateur a saisi à l'origine et qui n'est plus correct.
- Cochez la case Autoriser le client Mobile VPN with SSL à se rappeler le mot de passe si vous désirez que le client Mobile VPN with SSL mémorise le mot de passe. Si vous activez cette option, l'utilisateur mobile peut cocher une case sur le client Mobile VPN with SSL pour choisir si le client doit enregistrer le mot de passe.
Si vous configurez Mobile VPN with SSL pour utiliser plus d'un serveur d'authentification, les utilisateurs qui n'emploient pas le serveur d'authentification par défaut doivent spécifier le serveur d'authentification ou le domaine comme faisant partie de leur nom d'utilisateur. Pour plus d'informations et pour voir des exemples, consultez Installer et connecter le client Mobile VPN with SSL.
Dans la boîte de dialogue Configuration Mobile VPN with SSL :
- Sélectionnez l'onglet Authentification.
Une liste de Serveurs d'authentification configurés apparaît.
- Cochez la case de chaque serveur d'authentification que vous souhaitez utiliser pour l'authentification des utilisateurs avec Mobile VPN with SSL. Vous pouvez sélectionner n'importe quel serveur d'authentification activé : la base de données interne (Firebox-DB) du Firebox ou un serveur RADIUS, VACMAN Middleware, SecurID, LDAP ou Active Directory.
Seuls les domaines et serveurs de méthode d'authentification activés sont repris dans la liste. Pour plus d'informations sur les méthodes d'authentification prises en charge, consultez Types de serveurs d'authentification. - Si vous avez choisi plusieurs serveurs à utiliser pour l'authentification, sélectionnez un serveur par défaut. Cliquez sur Définir par défaut pour déplacer ce serveur en haut de la liste.
Si un utilisateur ne spécifie pas de serveur d'authentification dans la zone de texte Nom d'utilisateur lorsqu'il utilise un client Mobile VPN with SSL pour l'authentification, Mobile VPN with SSL utilise le serveur d'authentification par défaut. - Cochez la case Reconnexion automatique en cas de perte de connexion si vous désirez que le client Mobile VPN with SSL se reconnecte automatiquement. Si vous activez cette option, l'utilisateur mobile peut cocher une case sur le client Mobile VPN with SSL pour choisir si le client doit se reconnecter automatiquement. Vous devez également activer cette option si vous voulez que le client utilise automatiquement les adresses IP de secours lorsqu'il ne peut pas se connecter à l'adresse IP principale.
- Cochez la case Forcer les utilisateurs à s'authentifier en cas de perte de connexion pour obliger les utilisateurs à s'authentifier suite à une perte de connexion Mobile VPN with SSL. WatchGuard vous recommande de cocher cette case si vous avez recours à l'authentification à deux facteurs employant un mot de passe à usage unique telle que RADIUS, SecurID ou VASCO. Si vous ne forcez pas les utilisateurs à s'authentifier après la perte d'une connexion, la tentative de connexion automatique peut échouer. En effet, le client Mobile VPN with SSL tente de se reconnecter automatiquement après la perte de connexion à l'aide du mot de passe à usage unique que l'utilisateur a saisi à l'origine et qui n'est plus correct.
- Cochez la case Autoriser le client Mobile VPN with SSL à se rappeler le mot de passe si vous désirez que le client Mobile VPN with SSL mémorise le mot de passe. Si vous activez cette option, l'utilisateur mobile peut cocher une case sur le client Mobile VPN with SSL pour choisir si le client doit enregistrer le mot de passe.
Si vous configurez Mobile VPN with SSL pour utiliser plus d'un serveur d'authentification, les utilisateurs qui n'emploient pas le serveur d'authentification par défaut doivent spécifier le serveur d'authentification ou le domaine comme faisant partie de leur nom d'utilisateur. Pour plus d'informations et pour voir des exemples, consultez Installer et connecter le client Mobile VPN with SSL.
Ajouter des utilisateurs et des groupes
Vous pouvez utiliser le groupe SSLVPN-Users pour l'authentification ou vous ajouter les noms des utilisateurs et des groupes existant sur votre serveur d'authentification.
Le groupe SSLVPN-Users est ajouté par défaut. Vous pouvez ajouter les noms d'autres groupes et utilisateurs utilisant Mobile VPN with SSL. Pour chaque groupe ou utilisateur, vous pouvez sélectionner un serveur d'authentification spécifique où le groupe existe, ou sélectionner Tout si ce groupe existe sur plus d'un serveur d'authentification. Le nom du groupe ou de l'utilisateur que vous ajoutez doit exister sur le serveur d'authentification. Les noms de groupe et d'utilisateur sont sensibles à la casse et doivent correspondre exactement aux noms figurant sur votre serveur d'authentification.
- Sous la liste des utilisateurs et des groupes, cliquez surAjouter.
La boîte de dialogue Ajouter un Utilisateur ou un Groupe s'affiche.
- Sélectionnez Groupe ou Utilisateur pour ajouter un groupe ou un utilisateur.
- Dans la zone de texte Nom, saisissez le nom du groupe ou de l'utilisateur dans la zone de texte adjacente. Le nom doit correspondre au nom d'un groupe ou d'un utilisateur de votre serveur d'authentification.
- Dans la liste déroulante Serveur d'authentification, sélectionnez le serveur d'authentification où l'utilisateur ou le groupe existe.
Vous pouvez également sélectionner Tous si le groupe peut être utilisé avec tous les serveurs d'authentification sélectionnés. - Cliquez sur OK.
L'utilisateur ou le groupe est ajouté à la liste Utilisateurs et Groupes. - Cliquez sur Enregistrer pour enregistrer les paramètres de configuration.
- Sélectionnez Groupe ou Utilisateur pour ajouter un groupe ou un utilisateur.
- Dans la zone de texte Nom, saisissez le nom du groupe ou de l'utilisateur dans la zone de texte adjacente. Le nom doit correspondre au nom d'un groupe ou d'un utilisateur de votre serveur d'authentification.
- Dans la liste déroulante Serveur d'authentification, sélectionnez le serveur d'authentification où l'utilisateur ou le groupe existe.
Vous pouvez également sélectionner Tous si le groupe peut être utilisé avec tous les serveurs d'authentification sélectionnés. - Cliquez sur Ajouter.
L'utilisateur ou le groupe est ajouté à la liste Utilisateurs et Groupes. - Cliquez sur OK pour enregistrer les paramètres de configuration.
- Sélectionnez le groupe ou l'utilisateur dans la liste.
- Cliquez sur Supprimer.
La stratégie Allow SSLVPN-Users et les groupes et utilisateurs Mobile VPN with SSL
Quand vous enregistrez la configuration de Mobile VPN with SSL, la stratégie Autoriser SSLVPN-Utilisateurs est créée ou mise à jour pour être appliquée aux groupes et utilisateurs que vous avez configurés pour l'authentification. Les noms des groupes et utilisateurs que vous avez ajoutés n'apparaissent pas dans la liste De dans la stratégie Autoriser SSLVPN-Utilisateurs. C'est le nom de groupe unique SSLVPN-Utilisateurs qui apparaît. Les noms des groupes et utilisateurs que vous avez ajoutés ne figurent pas dans la liste De. Cependant, cette stratégie s'applique l'ensemble des utilisateurs et des groupes configurés dans les paramètres d'authentification Mobile VPN with SSL.
Si vous désactivez Mobile VPN with SSL, la stratégie Allow SSLVPN-Users et le groupe SSLVPN-Users sont automatiquement supprimés.
Configurer les paramètres avancés de Mobile VPN with SSL
Vous pouvez configurer ces paramètres sur la page Avancé :
- Authentification et chiffrement
- Ports
- Temporisateurs
- DNS et WINS
Les paramètres d'authentification et de chiffrement sont désormais plus robustes dans Fireware v12.0. Les paramètres Blowfish, MD5 et DES ont été supprimés. Pour de plus amples informations concernant ces paramètres dans Fireware v11.12.4 et les versions antérieures, consultez la version précédente de l'Aide de Fireware.
- Sélectionnez VPN > Mobile VPN with SSL.
La page Configuration de Mobile VPN with SSL s'affiche.
- Sélectionnez l'onglet Avancé.
- Configurez les paramètres avancés :
Authentification
Sélectionnez une méthode d'authentification pour la connexion : SHA-1, SHA-256 ou SHA-512. Nous vous recommandons les variantes SHA-2 SHA-256 et SHA-512, plus robustes que SHA-1.
Chiffrement
Sélectionnez un algorithme pour chiffrer le trafic : 3DES, AES (128 bits), AES (192 bits) ou AES (256 bits). Nous vous recommandons le chiffrement AES. Pour de meilleures performances, sélectionnez AES (128 bits). Pour un chiffrement plus robuste, choisissez AES (256 bits).
Si vous sélectionnez 3DES, tenez compte des potentielles attaques de sécurité, bien qu'improbables. Pour de plus amples informations, consultez la rubrique Vulnérabilité Sweet32 dans la Base de Connaissances WatchGuard.
Canal de données
Sélectionnez le protocole et le port utilisés par Mobile VPN with SSL pour envoyer des données une fois qu'une connexion VPN est établie. Vous pouvez utiliser le protocole TCP ou UDP. Ensuite, sélectionnez un port. Le protocole et le port par défaut de Mobile VPN with SSL est TCP port 443. Ce sont également le protocole et le port standard du trafic HTTPS. Vous pouvez utiliser le port 443 pour Mobile VPN with SSL dans la mesure où vous n'utilisez pas la même adresse IP externe dans une stratégie HTTPS entrante.
Si vous changez le canal de données de sorte à utiliser un port autre que 443, les utilisateurs doivent taper manuellement ce port dans la boîte de dialogue de connexion de Mobile VPN with SSL. Par exemple, si vous changez le canal de données à 444 et que l'adresse IP du Firebox est 203.0.113.2, l'utilisateur devra saisir 203.0.113.2:444 au lieu de 203.0.113.2.
Si le port par défaut est 443, l'utilisateur doit uniquement saisir l'adresse IP du Firebox. Il ne sera pas utile de saisir :443 après l'adresse IP.
Pour plus d'informations, voir Choisir le port et le protocole pour Mobile VPN with SSL.
Mobile VPN with SSL ne prend pas en charge le canal de données UDP pour les connexions VPN vers l'adresse IP d'une interface externe secondaire.
Canal de configuration
Sélectionnez le protocole et le port utilisés par Mobile VPN with SSL pour négocier le canal de données et télécharger les fichiers de configuration. Si vous définissez le protocole du canal de données sur TCP, le canal de configuration utilisera automatiquement le même port et le même protocole. Si vous définissez le protocole de canal de données sur UDP, vous pouvez définir le protocole de canal de configuration sur TCP ou UDP et utiliser un port différent de celui du canal de données.
Intervalle de Conservation d'Activité
Indiquez la fréquence à laquelle le Firebox envoie du trafic par le tunnel afin de conserver le tunnel en activité même en l'absence de trafic.
Délai de Conservation d'Activité
Précisez la durée pendant laquelle le Firebox attend une réponse. Si aucune réponse n'est reçue avant l'expiration du délai d'attente, le tunnel est fermé et le client doit se reconnecter.
Renégocier le canal de données
Si une connexion Mobile VPN with SSL est active pendant la durée indiquée dans la zone de texte Renégocier le canal de données, le client Mobile VPN with SSL doit créer un nouveau tunnel. La valeur minimale est de 60 minutes.
Serveurs DNS et WINS
Vous pouvez utiliser le serveur DNS ou WINS pour résoudre les adresses IP des ressources protégées par le Firebox. Si vous souhaitez que les clients Mobile VPN with SSL utilisent un serveur DNS ou WINS derrière le Firebox au lieu des serveurs attribués par le réseau distant auquel ils sont connectés, saisissez le nom de domaine et les adresses IP des serveurs DNS et WINS de votre réseau. Pour plus d'informations sur DNS et WINS, consultez Résolution de nom pour Mobile VPN with SSL.
- Sélectionnez VPN >Mobile VPN > SSL.
La boîte de dialogue Configuration de Mobile VPN with SSL apparaît.
- Sélectionnez l'onglet Avancé.
- Configurez les paramètres avancés :
Authentification
Sélectionnez une méthode d'authentification pour la connexion : SHA-1, SHA-256 et SHA-512. Nous vous recommandons les variantes SHA-2 SHA-256 et SHA-512, plus robustes que SHA-1.
Chiffrement
Sélectionnez un algorithme pour chiffrer le trafic : 3DES, AES (128 bits), AES (192 bits) ou AES (256 bits). Nous vous recommandons le chiffrement AES. Pour de meilleures performances, sélectionnez AES (128 bits). Pour un chiffrement plus robuste, choisissez AES (256 bits).
Si vous sélectionnez 3DES, tenez compte des potentielles attaques de sécurité, bien qu'improbables. Pour de plus amples informations, consultez la rubrique Vulnérabilité Sweet32 dans la Base de Connaissances WatchGuard.
Canal de données
Sélectionnez le protocole et le port utilisés par Mobile VPN with SSL pour envoyer des données une fois qu'une connexion VPN est établie. Vous pouvez utiliser le protocole TCP ou UDP. Ensuite, sélectionnez un port. Le protocole et le port par défaut de Mobile VPN with SSL est TCP port 443. Ce sont également le protocole et le port standard du trafic HTTPS. Vous pouvez utiliser le port 443 pour Mobile VPN with SSL dans la mesure où vous n'utilisez pas la même adresse IP externe dans une stratégie HTTPS entrante.
Si vous changez le canal de données de sorte à utiliser un port autre que 443, les utilisateurs doivent taper manuellement ce port dans la boîte de dialogue de connexion de Mobile VPN with SSL. Par exemple, si vous changez le canal de données à 444 et que l'adresse IP du Firebox est 203.0.113.2, l'utilisateur devra saisir 203.0.113.2:444 au lieu de 203.0.113.2.
Si le port par défaut est 443, l'utilisateur doit uniquement saisir l'adresse IP du Firebox. Il ne sera pas utile de saisir :443 après l'adresse IP.
Pour plus d'informations, voir Choisir le port et le protocole pour Mobile VPN with SSL.
Mobile VPN with SSL ne prend pas en charge le canal de données UDP pour les connexions VPN vers l'adresse IP d'une interface externe secondaire.
Canal de configuration
Sélectionnez le protocole et le port utilisés par Mobile VPN with SSL pour négocier le canal de données et télécharger les fichiers de configuration. Si vous définissez le protocole du canal de données sur TCP, le canal de configuration utilisera automatiquement le même port et le même protocole. Si vous définissez le protocole de canal de données sur UDP, vous pouvez définir le protocole de canal de configuration sur TCP ou UDP et utiliser un port différent de celui du canal de données.
Intervalle de Conservation d'Activité
Indiquez la fréquence à laquelle le Firebox envoie du trafic par le tunnel afin de conserver le tunnel en activité même en l'absence de trafic.
Délai de Conservation d'Activité
Précisez la durée pendant laquelle le Firebox attend une réponse. Si aucune réponse n'est reçue avant l'expiration du délai d'attente, le tunnel est fermé et le client doit se reconnecter.
Renégocier le canal de données
Si une connexion Mobile VPN with SSL est active pendant la durée indiquée dans la zone de texte Renégocier le canal de données, le client Mobile VPN with SSL doit créer un nouveau tunnel. La valeur minimale est de 60 minutes.
Serveurs DNS et WINS
Vous pouvez utiliser le serveur DNS ou WINS pour résoudre les adresses IP des ressources protégées par le Firebox. Si vous souhaitez que les clients Mobile VPN with SSL utilisent un serveur DNS ou WINS derrière le Firebox au lieu des serveurs attribués par le réseau distant auquel ils sont connectés, saisissez le nom de domaine et les adresses IP des serveurs DNS et WINS de votre réseau. Pour plus d'informations sur DNS et WINS, consultez Résolution de nom pour Mobile VPN with SSL.
Restaurer les valeurs par défaut
Cliquez sur cette option pour rétablir les paramètres de l'onglet Avancé sur les valeurs par défaut. Toutes les informations sur les serveurs DNS et WINS figurant dans l'onglet Avancé sont supprimées.
Configurer des stratégies pour contrôler l'accès client Mobile VPN with SSL
Lorsque vous activez Mobile VPN with SSL, les stratégies permettant d'autoriser l'accès au client Mobile VPN with SSL sont automatiquement créées. Vous pouvez modifier ces stratégies pour contrôler l'accès client Mobile VPN with SSL.
WatchGuard SSLVPN
Cette stratégie SSLVPN autorise les connexions au Firebox depuis un client Mobile VPN with SSL. Cette stratégie autorise le trafic de tous les hôtes des réseaux externes Approuvés ou Facultatifs vers l'adresse IP d'une interface principale ou secondaire de votre Firebox via le port TCP 443, port et protocole utilisés par le Firebox pour Mobile VPN with SSL.
Si vous souhaitez que cette stratégie autorise les connexions au port TCP 443 uniquement vers l'adresse IP d'une interface spécifiée, modifiez la section À de la stratégie pour supprimer l'alias Firebox et ajoutez une adresse IP externe que vos clients Mobile VPN with SSL utiliseront pour se connecter.
Allow SSLVPN-Users
Cette stratégie de type Tout permet aux groupes et aux utilisateurs que vous avez configurés pour l'authentification SSL d'avoir accès aux ressources de votre réseau. Cette stratégie inclut automatiquement tous les utilisateurs et les groupes de votre configuration Mobile VPN with SSL. Le trafic autorisé depuis les clients SSL jusqu'aux ressources réseau protégées par le Firebox ne fait l'objet d'aucune restriction.
Pour limiter le trafic des utilisateurs VPN par port et par protocole, vous pouvez désactiver ou supprimer la stratégie Allow SSLVPN-Users. Ajoutez ensuite de nouvelles stratégies à votre configuration ou ajoutez le groupe avec accès Mobile VPN with SSL à la section De des stratégies existantes.
Par défaut, tout le trafic Mobile VPN with SSL n'est pas approuvé. Même si vous attribuez des adresses IP aux utilisateurs de Mobile VPN with SSL sur le même sous-réseau qu'un réseau approuvé, le trafic de l'utilisateur de Mobile VPN with SSL n'est pas considéré comme approuvé. Quelle que soit l'adresse IP attribuée, vous devez créer des stratégies pour autoriser les utilisateurs de Mobile VPN with SSL à accéder aux ressources réseau.
Authentification WatchGuard
Dans Fireware v11.11.4 et les versions antérieures, cette stratégie WG-Auth permet aux utilisateurs de s'authentifier sur du Firebox sur le port 4100 de manière à télécharger le logiciel client Mobile VPN with SSL. Si la stratégie d'Authentification WatchGuard ne figure pas dans la configuration de votre Firebox, elle est créée automatiquement lorsque vous activez Mobile VPN with SSL. La stratégie d'Authentification WatchGuard doit autoriser le trafic de Tout-Externe au Firebox afin que les utilisateurs puissent se connecter au Firebox à partir d'un réseau externe.
Pour plus d'informations sur cette stratégie, consultez À propos de la stratégie d'authentification WatchGuard (WG-Auth).
Dans Fireware v11.12 et les versions ultérieures, cette stratégie n'est pas créée automatiquement lorsque vous activez Mobile VPN with SSL. Pour télécharger le logiciel client Mobile VPN with SSL, les utilisateurs s'authentifient sur le port 443 du Firebox ou sur un port personnalisé que vous spécifiez.
Après avoir mis à niveau le système d'exploitation Fireware du Firebox vers la v11.12, si votre fichier de configuration comprend une stratégie d'Authentification WatchGuard, l'alias Tout-Externe est automatiquement supprimé. Si vous procédez à la mise à niveau avec Policy Manager, rechargez manuellement la configuration à partir du Firebox une fois cette opération terminée pour vous assurer que l'alias n'ait pas été automatiquement rajouté à la configuration lorsque vous enregistrez cette dernière sur le Firebox. L'alias Tout-Externe est automatiquement supprimé de la stratégie d'Authentification WatchGuard, que vous ayez ou non ajouté manuellement l'alias ou activé Mobile VPN with SSL.
Autoriser les utilisateurs Mobile VPN with SSL à accéder à un réseau approuvé
Dans cet exemple, vous ajoutez une stratégie Tout permettant à tous les membres du groupe SSLVPN-Utilisateurs d'accéder à l'ensemble des ressources des réseaux approuvés.
- Sélectionnez Pare-feu > Stratégies de Pare-feu.
La page Stratégies s'affiche. - Cliquez sur Ajouter une stratégie.
- Dans la liste déroulante Filtre de paquets, sélectionnez Tout.
- Dans la zone de texte Nom, saisissez un nom descriptif de la stratégie.
- Cliquez sur Ajouter une stratégie.
- Dans l'onglet Paramètres, dans la section De, sélectionnez Tout-Approuvé et cliquez sur Supprimer.
- Dans la section De, cliquez sur Ajouter.
La boîte de dialogue Ajouter un membre s'affiche. - Dans la liste déroulante Type de membre, sélectionnez Groupe SSLVPN.
- Sélectionnez SSLVPN-Users.
- Cliquez sur OK pour fermer la boîte de dialogue Ajouter un Membre.
- Dans la section A, sélectionnez Tout-Externe. Cliquez sur Supprimer.
- Dans la section Vers, cliquez sur Ajouter.
La boîte de dialogue Ajouter un membre s'affiche. - Dans la liste des membres Tout-Approuvé.
- Cliquez sur OK.
- Cliquez sur Sauvegarder.
- Cliquez sur .
Ou sélectionnez Modifier > Ajouter des stratégies.
La boîte de dialogue Ajouter des stratégies s'ouvre. - Développez le dossier Filtres de paquets.
La liste des modèles de filtres de paquets apparaît. - Sélectionnez Tout.
- Cliquez sur Ajouter.
La boîte de dialogue Propriétés de la nouvelle stratégie s'ouvre. - Dans la zone de texte Nom, saisissez un nom descriptif de la stratégie.
- Dans l'onglet Stratégie, dans la section De, cliquez sur Tout-Approuvé. Cliquez sur Supprimer.
- Dans la section De, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s'affiche. - Cliquez sur Ajouter un utilisateur .
- Dans les deux listes déroulantes Type, sélectionnez Réseau privé VPN (Virtual Private Network) SSL pour la première et Groupe pour la deuxième.
- Sélectionnez SSLVPN-Users et cliquez sur Sélectionner.
Le nom de la méthode d'authentification apparaît entre parenthèses après SSLVPN-Users. - Cliquez sur OK pour fermer la boîte de dialogue Ajouter une Adresse.
- Dans la section À, sélectionnez Tout-Externe et cliquez sur Supprimer.
- Dans la section Vers, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s'affiche. - Dans la liste Membres Disponibles, sélectionnez Tout-Approuvé et cliquez sur Ajouter.
- Cliquez sur OK à deux reprises. Cliquez sur Fermer.
- Enregistrez les modifications dans le Firebox.
Pour plus d'informations sur les stratégies, consultez Ajouter des stratégies à votre configuration.
Utiliser d'autres groupes ou utilisateurs dans une stratégie Mobile VPN with SSL
Pour établir une connexion Mobile VPN with SSL, les utilisateurs doivent être membres du groupe SSLVPN-Users ou d'un autre groupe que vous aurez ajouté à la configuration de Mobile VPN with SSL. Vous pouvez utiliser des stratégies avec d'autres groupes afin de limiter l'accès aux ressources une fois l'utilisateur connecté. Si vous avez ajouté des groupes d'un serveur d'authentification tiers dans votre configuration Mobile VPN with SSL et que vous souhaitez utiliser les noms de ces groupes dans des stratégies visant à limiter l'accès, vous devez également les ajouter à la liste Utilisateurs et Groupes de la configuration du Firebox.
- Sélectionnez Authentification > Utilisateurs et Groupes.
- Ajoutez les utilisateurs et les groupes, comme indiqué dans Utiliser les Utilisateurs et Groupes Autorisés dans les Stratégies.
Après avoir ajouté des utilisateurs ou des groupes de la configuration de Mobile VPN with SSL à la liste des Utilisateurs et Groupes, vous pouvez modifier la stratégie Autoriser SSLVPN-Utilisateurs générée automatiquement pour l'appliquer à un groupe ou un utilisateur spécifique.
Par exemple, nous modifions la stratégie Autoriser SSLVPN-Utilisateurs pour l'appliquer uniquement au groupe d'utilisateurs LDAP-Utilisateurs1 :
- Sélectionnez Authentification > Utilisateurs et Groupes.
- Ajoutez le groupe LDAP-Users1 que vous avez ajouté à la configuration Mobile VPN with SSL.
Sélectionnez LDAP pour le Serveur d'Authentification. - Modifiez la stratégie Autoriser SSLVPN-Users.
- Dans la section De, supprimez le groupe SSLVPN-Users.
- Dans la section De, cliquez sur Ajouter.
La boîte de dialogue Ajouter un membre s'affiche. - Dans la liste déroulante Type de Membre, sélectionnez SSLVPN Group.
Une liste de groupes apparaît. - Sélectionnez le groupe LDAP-Utilisateurs1. Cliquez sur OK.
Le groupe LDAP-Utilisateurs1 s'affiche dans la liste De. - Cliquez sur OK.
La stratégie Autoriser SSLVPN-Users s'applique désormais uniquement au groupe LDAP-Users1.
- Sélectionnez Configuration > Authentification > Utilisateurs et Groupes.
- Ajoutez les utilisateurs et les groupes, comme indiqué dans Utiliser les Utilisateurs et Groupes Autorisés dans les Stratégies.
Après avoir ajouté des utilisateurs ou des groupes de la configuration de Mobile VPN with SSL à la liste des Utilisateurs et Groupes, vous pouvez modifier la stratégie Autoriser SSLVPN-Utilisateurs générée automatiquement pour l'appliquer à un groupe ou un utilisateur spécifique.
Par exemple, nous modifions la stratégie Autoriser SSLVPN-Utilisateurs pour l'appliquer uniquement au groupe d'utilisateurs LDAP-Utilisateurs1 :
- Sélectionnez Configuration > Authentification > Utilisateurs et Groupes.
- Ajoutez le groupe LDAP-Users1 que vous avez ajouté à la configuration Mobile VPN with SSL.
Sélectionnez LDAP pour le Serveur d'Authentification. - Modifiez la stratégie Autoriser SSLVPN-Users.
- Dans la section De, supprimez le groupe SSLVPN-Users.
- Dans la section De, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s'affiche. - Sélectionnez Ajouter autre.
La boîte de dialogue Ajouter un membre s'affiche.
- Dans la liste déroulante Choisir le type, sélectionnez Adresse personnalisée.
- Dans la liste déroulante Utilisateur/Groupe, sélectionnez le groupe LDAP-Utilisateurs1. Cliquez sur OK.
Le groupe LDAP-Utilisateurs1 s'affiche dans la liste Adresses et Membres Sélectionnés. - Cliquez sur OK.
La stratégie Autoriser SSLVPN-Users s'applique désormais uniquement au groupe LDAP-Users1.
Voir aussi
Installer et connecter le client Mobile VPN with SSL
Désinstaller le client Mobile VPN with SSL
Tutoriel vidéo — Mobile VPN with SSL