Configurer le Firebox pour Mobile VPN with SSL

1. Sélectionnez VPN > Mobile VPN with SSL.
   La page Configuration de Mobile VPN with SSL s'affiche.

2. Cochez la case Activer Mobile VPN with SSL.
3. Dans la zone de texte Principal, entrez une adresse IP publique ou un nom de domaine.
   Il s'agit de l'adresse IP ou du nom de domaine auxquels les clients Mobile VPN with SSL se connectent par défaut. Il peut s'agir d'une adresse IP externe, d'une adresse IP externe secondaire ou d'un réseau local virtuel (VLAN) externe. Pour un périphérique en mode d'insertion, utilisez l'adresse IP attribuée à toutes les interfaces.
4. Si votre Firebox dispose de plusieurs adresses externes, saisissez une autre adresse IP publique dans la zone de texte Secondaire.
   Il s'agit de l'adresse IP à laquelle le client Mobile VPN with SSL se connecte s'il ne peut pas établir de connexion à l'aide de l'adresse IP principale. Si vous ajoutez une adresse IP secondaire, assurez-vous qu'il s'agisse d'une adresse IP attribuée à un VLAN ou à une interface externe d'un Firebox. Si vous voulez que le client Mobile VPN with SSL utilise une adresse IP secondaire, vous devez également cocher la case Reconnexion automatique après perte de connexion dans les paramètres d'Authentification, tel que décrit dans la section suivante.

1. Sélectionnez VPN >Mobile VPN > SSL.
   La boîte de dialogue Configuration Mobile VPN with SSL apparaît.

2. Cochez la case Activer Mobile VPN with SSL.
3. Dans la zone de texte Principal, tapez ou sélectionnez une adresse IP publique ou un nom de domaine.
   Il s'agit de l'adresse IP ou du nom de domaine auxquels les clients Mobile VPN with SSL se connectent par défaut. Il peut s'agir d'une adresse IP externe, d'une adresse IP externe secondaire ou d'un réseau local virtuel (VLAN) externe. Pour un périphérique en mode d'insertion, utilisez l'adresse IP attribuée à toutes les interfaces.
4. Si votre Firebox dispose de plusieurs adresses externes, dans la zone de texte Secours, entrez une autre adresse IP publique.
   Il s'agit de l'adresse IP à laquelle le client Mobile VPN with SSL se connecte s'il ne peut pas établir de connexion à l'aide de l'adresse IP principale. Si vous ajoutez une adresse IP de secours, assurez-vous qu'il s'agisse d'une adresse IP attribuée à une interface externe ou un réseau local virtuel (VLAN). Si vous voulez que le client Mobile VPN with SSL utilise une adresse IP de secours, vous devez également cocher la case Reconnexion automatique après perte de connexion dans les paramètres d'Authentification.

1. Dans la liste déroulante de la section Réseau et pool d'adresses IP, sélectionnez la méthode utilisée par le Firebox pour envoyer le trafic via le tunnel VPN :
   • Sélectionnez Pont Trafic VPN pour créer un pont pour le trafic SSL VPN vers un réseau que vous indiquez. Lorsque vous sélectionnez cette option, vous ne pouvez pas filtrer le trafic entre les utilisateurs SSL VPN et le réseau auquel le trafic SSL VPN est relié par un pont.
   • Sélectionnez Trafic VPN routé pour acheminer le trafic VPN vers les réseaux et ressources indiqués. Il s'agit du paramètre par défaut pour tous les Firebox WatchGuard.

2. Sélectionnez ou désélectionnez la case à cocher Forcer le trafic client à passer par le tunnel.
   • Pour router par le tunnel tout le trafic du client VPN à destination de votre réseau privé et d'Internet, sélectionnez Forcer tout le trafic client à passer par le tunnel.
     Cette option envoie tout le trafic externe aux stratégies Firebox que vous créez et offre une sécurité constante pour les utilisateurs mobiles. Toutefois, comme elle nécessite une plus grande puissance de traitement sur le Firebox, l'accès aux ressources Internet peut être très lent pour l'utilisateur mobile.
     Pour savoir comment autoriser les clients à accéder à Internet quand cette option est sélectionnée, consultez Options pour l'accès à internet par le biais d'un tunnel Mobile VPN with SSL.
   • Pour ne faire transiter par le tunnel que le trafic du client VPN à destination de vos réseaux privés, décochez la case Forcer tout le trafic client à passer par le tunnel.
     Cette option offre à vos utilisateurs des vitesses réseau plus élevées en routant uniquement via le Firebox le trafic à destination des ressources du réseau privé. Le reste du trafic Internet ne passe pas par le tunnel et n'est pas concerné par les stratégies de votre Firebox.
     1. Pour permettre l'accès à tous les réseaux internes, sélectionnez Autoriser l'accès à tous les réseaux Approuvés, Facultatifs et Personnalisés.
     2. Pour limiter l'accès des clients Mobile VPN with SSL aux seuls périphériques précisés sur votre réseau privé, cochez la case Spécifier les ressources autorisées. Pour spécifier une ressource autorisée, entrez l'adresse IP de la ressource réseau en utilisant la notation de barre oblique et cliquez sur Ajouter.
3. Configurez les adresses IP que le Firebox attribue aux connexions des clients Mobile VPN with SSL.

Trafic VPN routé

Pour le pool d'adresses IP virtuelles, conservez le paramètre par défaut 192.168.113.0/24, ou saisissez une autre plage. Saisissez l'adresse IP du sous-réseau en employant la notation de barre oblique. Les adresses IP de ce sous-réseau sont automatiquement attribuées aux connexions des clients Mobile VPN with SSL. Vous ne pouvez pas attribuer d'adresse IP à un utilisateur spécifique.

Pour éviter d'éventuels conflits d'adresse IP, WatchGuard vous recommande d'attribuer des adresses IP virtuelles n'appartenant pas à un réseau protégé par le Firebox ou accessible par l'intermédiaire d'une route ou d'un réseau BOVPN, attribuées par DHCP à un périphérique situé derrière le Firebox ou utilisées pour les pools d'adresses Mobile VPN with IPSec ou Mobile VPN with SSL. Si FireCluster est activé, le pool d'adresses IP virtuelles ne peut se trouver sur le même sous-réseau que l'adresse IP du cluster principal.

Sur les Firebox exécutant Fireware v11.12.4 ou une version antérieure, veillez à assigner des adresses IP virtuelles n'appartenant pas au pool d'adresses Mobile VPN with PPTP.

Trafic VPN pont

Dans la liste déroulante Pont vers l'interface, sélectionnez le nom de l'interface vers laquelle vous souhaitez créer un pont. Le choix des interfaces pouvant être pontées au trafic VPN dépend de la version de Fireware exécutée par le périphérique :

• Fireware v11.8.x et les versions antérieures — Vous pouvez ponter le trafic VPN vers toutes les interfaces à l'exception des ponts LAN.
• Fireware v11.9 et les versions ultérieures — Vous pouvez ponter le trafic VPN uniquement vers un pont LAN.

Pour plus d'informations, voir Avant de Commencer.

Dans les zones de texte Début et Fin, saisissez la première et la dernière adresse IP de la plage à attribuer aux connexions des clients Mobile VPN with SSL. Les adresses IP de début et de fin doivent être sur le même sous-réseau que l'interface reliée par un pont.

Pour plus d'informations sur les adresses IP virtuelles, consultez Adresses IP Virtuelles et Mobile VPN.

1. Dans la liste déroulante de la section Réseau et pool d'adresses IP, sélectionnez la méthode par laquelle le Firebox envoie du trafic par le tunnel VPN.
   • Sélectionnez Pont Trafic VPN pour créer un pont pour le trafic SSL VPN vers un réseau que vous indiquez. Lorsque vous sélectionnez cette option, vous ne pouvez pas filtrer le trafic entre les utilisateurs SSL VPN et le réseau auquel le trafic SSL VPN est relié par un pont.
   • Sélectionnez Trafic VPN routé pour acheminer le trafic VPN vers les réseaux et ressources indiqués. Il s'agit du paramètre par défaut pour tous les Firebox WatchGuard.

2. Sélectionnez ou désélectionnez la case à cocher Forcer le trafic client à passer par le tunnel.
   • Pour router par le tunnel tout le trafic du client VPN à destination de votre réseau privé et d'Internet, sélectionnez Forcer tout le trafic client à passer par le tunnel.
     Cette option envoie tout le trafic externe aux stratégies Firebox que vous créez et offre une sécurité constante pour les utilisateurs mobiles. Toutefois, comme elle nécessite une plus grande puissance de traitement sur le Firebox, l'accès aux ressources Internet peut être très lent pour l'utilisateur mobile.
     Pour savoir comment autoriser les clients à accéder à Internet quand cette option est sélectionnée, consultez Options pour l'accès à internet par le biais d'un tunnel Mobile VPN with SSL.
   • Pour ne faire transiter par le tunnel que le trafic du client VPN à destination de vos réseaux privés, décochez la case Forcer tout le trafic client à passer par le tunnel.
     Cette option envoie tout le trafic externe aux stratégies Firebox que vous créez et offre une sécurité constante pour les utilisateurs mobiles. Toutefois, comme elle nécessite une plus grande puissance de traitement sur le Firebox, l'accès aux ressources Internet peut être très lent pour l'utilisateur mobile.
     1. Pour permettre l'accès à tous les réseaux internes, sélectionnez Autoriser l'accès à tous les réseaux Approuvés, Facultatifs et Personnalisés.
     2. Pour limiter l'accès des clients Mobile VPN with SSL aux seuls périphériques précisés sur votre réseau privé, cochez la case Spécifier les ressources autorisées. Pour spécifier une ressource autorisée, entrez l'adresse IP de la ressource réseau en utilisant la notation de barre oblique et cliquez sur Ajouter.
3. Configurez les adresses IP que le Firebox attribue aux connexions des clients Mobile VPN with SSL. Si FireCluster est activé, le pool d'adresses IP virtuelles ne peut se trouver sur le même sous-réseau que l'adresse IP du cluster principal.

Trafic VPN routé

Pour le pool d'adresses IP virtuelles, conservez le paramètre par défaut 192.168.113.0/24, ou saisissez une autre plage.

Pour éviter d'éventuels conflits d'adresse IP, nous vous recommandons d'attribuer des adresses IP virtuelles n'appartenant pas à un réseau protégé par le Firebox ou accessible par l'intermédiaire d'une route ou d'un réseau BOVPN, attribuées par DHCP à un périphérique situé derrière le Firebox ou utilisées pour les pools d'adresses Mobile VPN with IPSec ou Mobile VPN with SSL. Si FireCluster est activé, le pool d'adresses IP virtuelles ne peut se trouver sur le même sous-réseau que l'adresse IP du cluster principal.

Sur les Firebox exécutant Fireware v11.12.4 ou une version antérieure, veillez à assigner des adresses IP virtuelles n'appartenant pas au pool d'adresses Mobile VPN with PPTP.

Trafic VPN pont

Dans la liste déroulante Pont vers l'interface, sélectionnez le nom de l'interface vers laquelle vous souhaitez créer un pont. Le choix des interfaces pouvant être reliées au trafic VPN par un pont dépend de la version du Fireware que le périphérique utilise.

• Avec Fireware XTM v11.8.x et antérieure, vous pouvez relier le trafic VPN par un pont vers toutes les interfaces à l'exception des ponts LAN.
• Avec Fireware v11.9 et ultérieure, vous pouvez relier le trafic VPN par un pont vers un pont LAN uniquement.

Pour plus d'informations, voir Avant de Commencer.

Dans les zones de texte Début et Fin, saisissez les première et dernière adresses IP de la plage à attribuer aux connexions clients Mobile VPN with SSL. Lorsque vous pontez le trafic VPN vers un pont LAN, les adresses IP de Début et de Fin doivent se trouver sur le même sous-réseau que l'interface pontée.

Pour plus d'informations sur les adresses IP virtuelles, consultez Adresses IP Virtuelles et Mobile VPN.

Sur la page Mobile VPN with SSL :

1. Sélectionnez l'onglet Authentification.
   Une liste des Serveurs d'authentification configurés apparaît.

2. Cochez la case de chaque serveur d'authentification que vous souhaitez utiliser pour l'authentification des utilisateurs avec Mobile VPN with SSL. Vous pouvez sélectionner n'importe quel serveur d'authentification activé : la base de données interne (Firebox-DB) du Firebox ou un serveur RADIUS, VACMAN Middleware, SecurID, LDAP ou Active Directory.
   Seuls les domaines et serveurs de méthode d'authentification activés sont repris dans la liste. Pour plus d'informations sur les méthodes d'authentification prises en charge, consultez Types de serveurs d'authentification.
3. Si vous avez choisi plusieurs serveurs à utiliser pour l'authentification, sélectionnez un serveur par défaut. Cliquez sur Par défaut pour déplacer ce serveur en haut de la liste.
   Si un utilisateur ne spécifie pas de serveur d'authentification dans la zone de texte Nom d'utilisateur lorsqu'il utilise un client Mobile VPN with SSL pour l'authentification, Mobile VPN with SSL utilise le serveur d'authentification par défaut.
4. Cochez la case Reconnexion automatique en cas de perte de connexion si vous désirez que le client Mobile VPN with SSL se reconnecte automatiquement. Si vous activez cette option, l'utilisateur mobile peut cocher une case sur le client Mobile VPN with SSL pour choisir si le client doit se reconnecter automatiquement. Vous devez également activer cette option si vous voulez que le client utilise automatiquement les adresses IP secondaires lorsqu'il ne peut pas se connecter à l'adresse IP principale.
5. Cochez la case Forcer les utilisateurs à s'authentifier en cas de perte de connexion pour obliger les utilisateurs à s'authentifier suite à une perte de connexion Mobile VPN with SSL. WatchGuard vous recommande de cocher cette case si vous avez recours à l'authentification à deux facteurs employant un mot de passe à usage unique telle que RADIUS, SecurID ou VASCO. Si vous ne forcez pas les utilisateurs à s'authentifier après la perte d'une connexion, la tentative de connexion automatique peut échouer. En effet, le client Mobile VPN with SSL tente de se reconnecter automatiquement après la perte de connexion à l'aide du mot de passe à usage unique que l'utilisateur a saisi à l'origine et qui n'est plus correct.
6. Cochez la case Autoriser le client Mobile VPN with SSL à se rappeler le mot de passe si vous désirez que le client Mobile VPN with SSL mémorise le mot de passe. Si vous activez cette option, l'utilisateur mobile peut cocher une case sur le client Mobile VPN with SSL pour choisir si le client doit enregistrer le mot de passe.

Si vous configurez Mobile VPN with SSL pour utiliser plus d'un serveur d'authentification, les utilisateurs qui n'emploient pas le serveur d'authentification par défaut doivent spécifier le serveur d'authentification ou le domaine comme faisant partie de leur nom d'utilisateur. Pour plus d'informations et pour voir des exemples, consultez Installer et connecter le client Mobile VPN with SSL.

Dans la boîte de dialogue Configuration Mobile VPN with SSL :

1. Sélectionnez l'onglet Authentification.
   Une liste de Serveurs d'authentification configurés apparaît.

2. Cochez la case de chaque serveur d'authentification que vous souhaitez utiliser pour l'authentification des utilisateurs avec Mobile VPN with SSL. Vous pouvez sélectionner n'importe quel serveur d'authentification activé : la base de données interne (Firebox-DB) du Firebox ou un serveur RADIUS, VACMAN Middleware, SecurID, LDAP ou Active Directory.
   Seuls les domaines et serveurs de méthode d'authentification activés sont repris dans la liste. Pour plus d'informations sur les méthodes d'authentification prises en charge, consultez Types de serveurs d'authentification.
3. Si vous avez choisi plusieurs serveurs à utiliser pour l'authentification, sélectionnez un serveur par défaut. Cliquez sur Définir par défaut pour déplacer ce serveur en haut de la liste.
   Si un utilisateur ne spécifie pas de serveur d'authentification dans la zone de texte Nom d'utilisateur lorsqu'il utilise un client Mobile VPN with SSL pour l'authentification, Mobile VPN with SSL utilise le serveur d'authentification par défaut.
4. Cochez la case Reconnexion automatique en cas de perte de connexion si vous désirez que le client Mobile VPN with SSL se reconnecte automatiquement. Si vous activez cette option, l'utilisateur mobile peut cocher une case sur le client Mobile VPN with SSL pour choisir si le client doit se reconnecter automatiquement. Vous devez également activer cette option si vous voulez que le client utilise automatiquement les adresses IP de secours lorsqu'il ne peut pas se connecter à l'adresse IP principale.
5. Cochez la case Forcer les utilisateurs à s'authentifier en cas de perte de connexion pour obliger les utilisateurs à s'authentifier suite à une perte de connexion Mobile VPN with SSL. WatchGuard vous recommande de cocher cette case si vous avez recours à l'authentification à deux facteurs employant un mot de passe à usage unique telle que RADIUS, SecurID ou VASCO. Si vous ne forcez pas les utilisateurs à s'authentifier après la perte d'une connexion, la tentative de connexion automatique peut échouer. En effet, le client Mobile VPN with SSL tente de se reconnecter automatiquement après la perte de connexion à l'aide du mot de passe à usage unique que l'utilisateur a saisi à l'origine et qui n'est plus correct.
6. Cochez la case Autoriser le client Mobile VPN with SSL à se rappeler le mot de passe si vous désirez que le client Mobile VPN with SSL mémorise le mot de passe. Si vous activez cette option, l'utilisateur mobile peut cocher une case sur le client Mobile VPN with SSL pour choisir si le client doit enregistrer le mot de passe.

Si vous configurez Mobile VPN with SSL pour utiliser plus d'un serveur d'authentification, les utilisateurs qui n'emploient pas le serveur d'authentification par défaut doivent spécifier le serveur d'authentification ou le domaine comme faisant partie de leur nom d'utilisateur. Pour plus d'informations et pour voir des exemples, consultez Installer et connecter le client Mobile VPN with SSL.

1. Sous la liste des utilisateurs et des groupes, cliquez surAjouter.
   La boîte de dialogue Ajouter un Utilisateur ou un Groupe s'affiche.

2. Sélectionnez Groupe ou Utilisateur pour ajouter un groupe ou un utilisateur.
3. Dans la zone de texte Nom, saisissez le nom du groupe ou de l'utilisateur dans la zone de texte adjacente. Le nom doit correspondre au nom d'un groupe ou d'un utilisateur de votre serveur d'authentification.
4. Dans la liste déroulante Serveur d'authentification, sélectionnez le serveur d'authentification où l'utilisateur ou le groupe existe.
   Vous pouvez également sélectionner Tous si le groupe peut être utilisé avec tous les serveurs d'authentification sélectionnés.
5. Cliquez sur OK.
   L'utilisateur ou le groupe est ajouté à la liste Utilisateurs et Groupes.
6. Cliquez sur Enregistrer pour enregistrer les paramètres de configuration.

1. Sélectionnez Groupe ou Utilisateur pour ajouter un groupe ou un utilisateur.
2. Dans la zone de texte Nom, saisissez le nom du groupe ou de l'utilisateur dans la zone de texte adjacente. Le nom doit correspondre au nom d'un groupe ou d'un utilisateur de votre serveur d'authentification.

3. Dans la liste déroulante Serveur d'authentification, sélectionnez le serveur d'authentification où l'utilisateur ou le groupe existe.
   Vous pouvez également sélectionner Tous si le groupe peut être utilisé avec tous les serveurs d'authentification sélectionnés.
4. Cliquez sur Ajouter.
   L'utilisateur ou le groupe est ajouté à la liste Utilisateurs et Groupes.
5. Cliquez sur OK pour enregistrer les paramètres de configuration.

1. Sélectionnez le groupe ou l'utilisateur dans la liste.
2. Cliquez sur Supprimer.

1. Sélectionnez VPN > Mobile VPN with SSL.
   La page Configuration de Mobile VPN with SSL s'affiche.

2. Sélectionnez l'onglet Avancé.
3. Configurez les paramètres avancés :

Authentification

Sélectionnez une méthode d'authentification pour la connexion : SHA-1, SHA-256 ou SHA-512. Nous vous recommandons les variantes SHA-2 SHA-256 et SHA-512, plus robustes que SHA-1.

Chiffrement

Sélectionnez un algorithme pour chiffrer le trafic : 3DES, AES (128 bits), AES (192 bits) ou AES (256 bits). Nous vous recommandons le chiffrement AES. Pour de meilleures performances, sélectionnez AES (128 bits). Pour un chiffrement plus robuste, choisissez AES (256 bits).

Si vous sélectionnez 3DES, tenez compte des potentielles attaques de sécurité, bien qu'improbables. Pour de plus amples informations, consultez la rubrique Vulnérabilité Sweet32 dans la Base de Connaissances WatchGuard.

Canal de données

Sélectionnez le protocole et le port utilisés par Mobile VPN with SSL pour envoyer des données une fois qu'une connexion VPN est établie. Vous pouvez utiliser le protocole TCP ou UDP. Ensuite, sélectionnez un port. Le protocole et le port par défaut de Mobile VPN with SSL est TCP port 443. Ce sont également le protocole et le port standard du trafic HTTPS. Vous pouvez utiliser le port 443 pour Mobile VPN with SSL dans la mesure où vous n'utilisez pas la même adresse IP externe dans une stratégie HTTPS entrante.

Si vous changez le canal de données de sorte à utiliser un port autre que 443, les utilisateurs doivent taper manuellement ce port dans la boîte de dialogue de connexion de Mobile VPN with SSL. Par exemple, si vous changez le canal de données à 444 et que l'adresse IP du Firebox est 203.0.113.2, l'utilisateur devra saisir 203.0.113.2:444 au lieu de 203.0.113.2.

Si le port par défaut est 443, l'utilisateur doit uniquement saisir l'adresse IP du Firebox. Il ne sera pas utile de saisir :443 après l'adresse IP.

Pour plus d'informations, voir Choisir le port et le protocole pour Mobile VPN with SSL.

Mobile VPN with SSL ne prend pas en charge le canal de données UDP pour les connexions VPN vers l'adresse IP d'une interface externe secondaire.

Canal de configuration

Sélectionnez le protocole et le port utilisés par Mobile VPN with SSL pour négocier le canal de données et télécharger les fichiers de configuration. Si vous définissez le protocole du canal de données sur TCP, le canal de configuration utilisera automatiquement le même port et le même protocole. Si vous définissez le protocole de canal de données sur UDP, vous pouvez définir le protocole de canal de configuration sur TCP ou UDP et utiliser un port différent de celui du canal de données.

Intervalle de Conservation d'Activité

Indiquez la fréquence à laquelle le Firebox envoie du trafic par le tunnel afin de conserver le tunnel en activité même en l'absence de trafic.

Délai de Conservation d'Activité

Précisez la durée pendant laquelle le Firebox attend une réponse. Si aucune réponse n'est reçue avant l'expiration du délai d'attente, le tunnel est fermé et le client doit se reconnecter.

Renégocier le canal de données

Si une connexion Mobile VPN with SSL est active pendant la durée indiquée dans la zone de texte Renégocier le canal de données, le client Mobile VPN with SSL doit créer un nouveau tunnel. La valeur minimale est de 60 minutes.

Serveurs DNS et WINS

Vous pouvez utiliser le serveur DNS ou WINS pour résoudre les adresses IP des ressources protégées par le Firebox. Si vous souhaitez que les clients Mobile VPN with SSL utilisent un serveur DNS ou WINS derrière le Firebox au lieu des serveurs attribués par le réseau distant auquel ils sont connectés, saisissez le nom de domaine et les adresses IP des serveurs DNS et WINS de votre réseau. Pour plus d'informations sur DNS et WINS, consultez Résolution de nom pour Mobile VPN with SSL.

1. Sélectionnez VPN >Mobile VPN > SSL.
   La boîte de dialogue Configuration de Mobile VPN with SSL apparaît.

2. Sélectionnez l'onglet Avancé.
3. Configurez les paramètres avancés :

Authentification

Sélectionnez une méthode d'authentification pour la connexion : SHA-1, SHA-256 et SHA-512. Nous vous recommandons les variantes SHA-2 SHA-256 et SHA-512, plus robustes que SHA-1.

Chiffrement

Sélectionnez un algorithme pour chiffrer le trafic : 3DES, AES (128 bits), AES (192 bits) ou AES (256 bits). Nous vous recommandons le chiffrement AES. Pour de meilleures performances, sélectionnez AES (128 bits). Pour un chiffrement plus robuste, choisissez AES (256 bits).

Si vous sélectionnez 3DES, tenez compte des potentielles attaques de sécurité, bien qu'improbables. Pour de plus amples informations, consultez la rubrique Vulnérabilité Sweet32 dans la Base de Connaissances WatchGuard.

Canal de données

Sélectionnez le protocole et le port utilisés par Mobile VPN with SSL pour envoyer des données une fois qu'une connexion VPN est établie. Vous pouvez utiliser le protocole TCP ou UDP. Ensuite, sélectionnez un port. Le protocole et le port par défaut de Mobile VPN with SSL est TCP port 443. Ce sont également le protocole et le port standard du trafic HTTPS. Vous pouvez utiliser le port 443 pour Mobile VPN with SSL dans la mesure où vous n'utilisez pas la même adresse IP externe dans une stratégie HTTPS entrante.

Si vous changez le canal de données de sorte à utiliser un port autre que 443, les utilisateurs doivent taper manuellement ce port dans la boîte de dialogue de connexion de Mobile VPN with SSL. Par exemple, si vous changez le canal de données à 444 et que l'adresse IP du Firebox est 203.0.113.2, l'utilisateur devra saisir 203.0.113.2:444 au lieu de 203.0.113.2.

Si le port par défaut est 443, l'utilisateur doit uniquement saisir l'adresse IP du Firebox. Il ne sera pas utile de saisir :443 après l'adresse IP.

Pour plus d'informations, voir Choisir le port et le protocole pour Mobile VPN with SSL.

Mobile VPN with SSL ne prend pas en charge le canal de données UDP pour les connexions VPN vers l'adresse IP d'une interface externe secondaire.

Canal de configuration

Sélectionnez le protocole et le port utilisés par Mobile VPN with SSL pour négocier le canal de données et télécharger les fichiers de configuration. Si vous définissez le protocole du canal de données sur TCP, le canal de configuration utilisera automatiquement le même port et le même protocole. Si vous définissez le protocole de canal de données sur UDP, vous pouvez définir le protocole de canal de configuration sur TCP ou UDP et utiliser un port différent de celui du canal de données.

Intervalle de Conservation d'Activité

Indiquez la fréquence à laquelle le Firebox envoie du trafic par le tunnel afin de conserver le tunnel en activité même en l'absence de trafic.

Délai de Conservation d'Activité

Précisez la durée pendant laquelle le Firebox attend une réponse. Si aucune réponse n'est reçue avant l'expiration du délai d'attente, le tunnel est fermé et le client doit se reconnecter.

Renégocier le canal de données

Si une connexion Mobile VPN with SSL est active pendant la durée indiquée dans la zone de texte Renégocier le canal de données, le client Mobile VPN with SSL doit créer un nouveau tunnel. La valeur minimale est de 60 minutes.

Serveurs DNS et WINS

Vous pouvez utiliser le serveur DNS ou WINS pour résoudre les adresses IP des ressources protégées par le Firebox. Si vous souhaitez que les clients Mobile VPN with SSL utilisent un serveur DNS ou WINS derrière le Firebox au lieu des serveurs attribués par le réseau distant auquel ils sont connectés, saisissez le nom de domaine et les adresses IP des serveurs DNS et WINS de votre réseau. Pour plus d'informations sur DNS et WINS, consultez Résolution de nom pour Mobile VPN with SSL.

Restaurer les valeurs par défaut

Cliquez sur cette option pour rétablir les paramètres de l'onglet Avancé sur les valeurs par défaut. Toutes les informations sur les serveurs DNS et WINS figurant dans l'onglet Avancé sont supprimées.

1. Sélectionnez Pare-feu > Stratégies de Pare-feu.
   La page Stratégies s'affiche.
2. Cliquez sur Ajouter une stratégie.
3. Dans la liste déroulante Filtre de paquets, sélectionnez Tout.
4. Dans la zone de texte Nom, saisissez un nom descriptif de la stratégie.
5. Cliquez sur Ajouter une stratégie.
6. Dans l'onglet Paramètres, dans la section De, sélectionnez Tout-Approuvé et cliquez sur Supprimer.
7. Dans la section De, cliquez sur Ajouter.
   La boîte de dialogue Ajouter un membre s'affiche.
8. Dans la liste déroulante Type de membre, sélectionnez Groupe SSLVPN.
9. Sélectionnez SSLVPN-Users.
10. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un Membre.
11. Dans la section A, sélectionnez Tout-Externe. Cliquez sur Supprimer.
12. Dans la section Vers, cliquez sur Ajouter.
    La boîte de dialogue Ajouter un membre s'affiche.
13. Dans la liste des membres Tout-Approuvé.
14. Cliquez sur OK.
15. Cliquez sur Sauvegarder.

1. Cliquez sur .
   Ou sélectionnez Modifier > Ajouter des stratégies.
   La boîte de dialogue Ajouter des stratégies s'ouvre.
2. Développez le dossier Filtres de paquets.
   La liste des modèles de filtres de paquets apparaît.
3. Sélectionnez Tout.
4. Cliquez sur Ajouter.
   La boîte de dialogue Propriétés de la nouvelle stratégie s'ouvre.
   
5. Dans la zone de texte Nom, saisissez un nom descriptif de la stratégie.
6. Dans l'onglet Stratégie, dans la section De, cliquez sur Tout-Approuvé. Cliquez sur Supprimer.
7. Dans la section De, cliquez sur Ajouter.
   La boîte de dialogue Ajouter une adresse s'affiche.
8. Cliquez sur Ajouter un utilisateur .
9. Dans les deux listes déroulantes Type, sélectionnez Réseau privé VPN (Virtual Private Network) SSL pour la première et Groupe pour la deuxième.
10. Sélectionnez SSLVPN-Users et cliquez sur Sélectionner.
    Le nom de la méthode d'authentification apparaît entre parenthèses après SSLVPN-Users.
11. Cliquez sur OK pour fermer la boîte de dialogue Ajouter une Adresse.
12. Dans la section À, sélectionnez Tout-Externe et cliquez sur Supprimer.
13. Dans la section Vers, cliquez sur Ajouter.
    La boîte de dialogue Ajouter une adresse s'affiche.
14. Dans la liste Membres Disponibles, sélectionnez Tout-Approuvé et cliquez sur Ajouter.
15. Cliquez sur OK à deux reprises. Cliquez sur Fermer.
16. Enregistrez les modifications dans le Firebox.

1. Sélectionnez Authentification > Utilisateurs et Groupes.
2. Ajoutez les utilisateurs et les groupes, comme indiqué dans Utiliser les Utilisateurs et Groupes Autorisés dans les Stratégies.

Après avoir ajouté des utilisateurs ou des groupes de la configuration de Mobile VPN with SSL à la liste des Utilisateurs et Groupes, vous pouvez modifier la stratégie Autoriser SSLVPN-Utilisateurs générée automatiquement pour l'appliquer à un groupe ou un utilisateur spécifique.

Par exemple, nous modifions la stratégie Autoriser SSLVPN-Utilisateurs pour l'appliquer uniquement au groupe d'utilisateurs LDAP-Utilisateurs1 :

1. Sélectionnez Authentification > Utilisateurs et Groupes.
2. Ajoutez le groupe LDAP-Users1 que vous avez ajouté à la configuration Mobile VPN with SSL.
   Sélectionnez LDAP pour le Serveur d'Authentification.
3. Modifiez la stratégie Autoriser SSLVPN-Users.
4. Dans la section De, supprimez le groupe SSLVPN-Users.
5. Dans la section De, cliquez sur Ajouter.
   La boîte de dialogue Ajouter un membre s'affiche.
6. Dans la liste déroulante Type de Membre, sélectionnez SSLVPN Group.
   Une liste de groupes apparaît.
7. Sélectionnez le groupe LDAP-Utilisateurs1. Cliquez sur OK.
   Le groupe LDAP-Utilisateurs1 s'affiche dans la liste De.
8. Cliquez sur OK.
   La stratégie Autoriser SSLVPN-Users s'applique désormais uniquement au groupe LDAP-Users1.

1. Sélectionnez Configuration > Authentification > Utilisateurs et Groupes.
2. Ajoutez les utilisateurs et les groupes, comme indiqué dans Utiliser les Utilisateurs et Groupes Autorisés dans les Stratégies.

Après avoir ajouté des utilisateurs ou des groupes de la configuration de Mobile VPN with SSL à la liste des Utilisateurs et Groupes, vous pouvez modifier la stratégie Autoriser SSLVPN-Utilisateurs générée automatiquement pour l'appliquer à un groupe ou un utilisateur spécifique.

Par exemple, nous modifions la stratégie Autoriser SSLVPN-Utilisateurs pour l'appliquer uniquement au groupe d'utilisateurs LDAP-Utilisateurs1 :

1. Sélectionnez Configuration > Authentification > Utilisateurs et Groupes.
2. Ajoutez le groupe LDAP-Users1 que vous avez ajouté à la configuration Mobile VPN with SSL.
   Sélectionnez LDAP pour le Serveur d'Authentification.
3. Modifiez la stratégie Autoriser SSLVPN-Users.
4. Dans la section De, supprimez le groupe SSLVPN-Users.
5. Dans la section De, cliquez sur Ajouter.
   La boîte de dialogue Ajouter une adresse s'affiche.
6. Sélectionnez Ajouter autre.
   La boîte de dialogue Ajouter un membre s'affiche.

7. Dans la liste déroulante Choisir le type, sélectionnez Adresse personnalisée.
8. Dans la liste déroulante Utilisateur/Groupe, sélectionnez le groupe LDAP-Utilisateurs1. Cliquez sur OK.
   Le groupe LDAP-Utilisateurs1 s'affiche dans la liste Adresses et Membres Sélectionnés.
9. Cliquez sur OK.
   La stratégie Autoriser SSLVPN-Users s'applique désormais uniquement au groupe LDAP-Users1.