Comment configurer l'authentification à deux facteurs (2FA) à l'aide de Google Authenticator pour l'accès à distance IKEv2 VPN et SSL VPN sur Zyxel H-Series

Cet article fournit un guide clair, étape par étape, sur la configuration d'un VPN d'accès à distance IKEv2 avec authentification à deux facteurs sur les appareils Zyxel de la série H. Vous apprendrez comment configurer une authentification utilisateur sécurisée, intégrer Google Authenticator pour la 2FA et configurer les paramètres VPN, IP et tunnel nécessaires pour garantir un accès à distance fiable et protégé à votre réseau.

🔹 Remarque : sur les appareils Zyxel H-Series fonctionnant sous uOS, le processus d'autorisation 2FA est effectué après l'établissement du tunnel VPN. La page d'authentification est accessible via le tunnel VPN, et non directement depuis l'interface WAN.

Google Authenticator est considéré comme l'une des méthodes les plus fiables pour la 2FA, car il :

• Génère un code de vérification unique toutes les 30 secondes, minimisant ainsi le risque de réutilisation ou de compromission.
• Fonctionne sans connexion Internet, garantissant ainsi l'accès dans les environnements hors ligne.
• Est gratuit, léger et facile à déployer sur plusieurs plateformes.

En suivant ce guide, les administrateurs apprendront comment :

• Activer et configurer la 2FA sur les passerelles Zyxel série H.
• Associer les comptes utilisateurs VPN à Google Authenticator.
• Mettre en œuvre une connexion sécurisée pour les connexions VPN d'accès à distance (IKEv2) et VPN SSL.

La combinaison du cryptage VPN et de la 2FA basée sur TOTP offre un niveau de sécurité renforcé, garantissant que seuls les utilisateurs authentifiés peuvent établir des connexions à distance au réseau de l'entreprise.

Remarque : toutes les adresses IP réseau et tous les masques de sous-réseau utilisés dans cet article sont fournis à titre d'exemple. Veuillez les remplacer par vos adresses IP réseau et votre sous-réseau réels. 

• Client VPN SecuExtender: version 7.7.50.008 ou supérieure.
• Compte utilisateur local: la 2FA n'est actuellement prise en charge que pour les utilisateurs locaux.

Activer Google Authenticator pour un utilisateur

1. Accédez à Utilisateur et authentification > Utilisateur/Groupe.

2. Sélectionnez le compte utilisateur local requis.

3. Activez l'authentification à deux facteurs (2FA) et choisissez Google Authenticator.

Configurer Google Authenticator

1. Téléchargez et installez Google Authenticator sur votre appareil mobile.

2. Ouvrez l'application Google Authenticator et scannez le code QR affiché dans l'interface graphique Web.

1. Saisissez le code de vérification généré par l'application à l'étape 3 de l'interface graphique Web.

2. Cliquez sur Vérifier le code et Terminer.

Configurer la durée de validité et les types de service VPN

1. Activez l'authentification à deux facteurs (2FA) pour l'accès VPN.

2. Configurez la durée de validité, qui définit le délai pour saisir le code 2FA (par défaut : 3 minutes).

3. Sélectionnez les types de service VPN qui nécessitent une 2FA, tels que le VPN d'accès à distance ou le VPN SSL.

4. Une fois le tunnel VPN établi, les utilisateurs doivent saisir le code token via l'interface graphique Web pour terminer l'authentification.

VPN d'accès à distance (IKEv2)

1. Ouvrez le tunnel VPN d'accès à distance (IKEv2) à l'aide du client VPN SecuExtender.

2. Lorsque vous y êtes invité, entrez le code de vérification généré par Google Authenticator ou utilisez un code de secours.

3. Connectez-vous à l'aide de votre nom d'utilisateur, de votre mot de passe et du code de jeton pour terminer l'authentification.

VPN SSL

1. Ouvrez le tunnel VPN SSL à l'aide du client VPN SecuExtender.

2. Lorsque vous y êtes invité, entrez le code de vérification généré par Google Authenticator ou utilisez un code de secours.

3. Connectez-vous à l'aide de votre nom d'utilisateur, de votre mot de passe et de votre code token pour terminer l'authentification.