Cet article vous montrera comment configurer un VPN IKEv2 IPsec avec certificat à l'aide de SecuExtender sous Windows et MacOS. Il vous montrera comment configurer le VPN sur le pare-feu (USG FLEX / ATP / VPN Series en mode autonome / sur site) et comment se débarrasser de l'erreur TGBErrorCodeMgrNotCreated.description sur MacOS.

Note : Pour IOS 17, un groupe de clés est utilisé : DH19 doit être utilisé

Vidéo :

Table des matières

A) Configurer IKEv2 sur le pare-feu

B) Configurer SecuExtender Client

C) Configuration sur MacOS

A) Configurer IKEv2 sur le pare-feu

1. Connectez-vous à l'unité en saisissant son adresse IP et les informations d'identification d'un compte administrateur (par défaut, le nom d'utilisateur est "admin" et le mot de passe est "1234").
   
   
2. Naviguez vers Configuration > Objet > Adresse/Geo IP, cliquez sur "Ajouter" pour créer un objet du "Type d'adresse" "Plage". Nommez-le "IKEv2_Pool" et entrez une plage d'adresses IP qui ne chevauche pas vos sous-réseaux.
   .
   
   
3. Créez un autre objet Adresse IP pour permettre aux clients IKEv2 d'accéder ultérieurement à l'internet via le tunnel VPN. Choisissez le type "Range", nommez-le "All_Traffic" par exemple, tapez "0.0.0.0" pour l'"Adresse IP de départ" et "255.255.255.255" pour l'"Adresse IP de fin".
   
   
   
4. Naviguez vers Configuration > Objet > Utilisateur/Groupe et cliquez sur "Ajouter" pour créer de nouveaux utilisateurs.
   
   
   
5. Cliquez sur l'onglet "Groupe" et cliquez sur "Ajouter" pour créer un groupe "IKEv2_Users" et ajoutez les utilisateurs nécessaires en les marquant et en cliquant sur la flèche pointant vers la droite.
   
   
   
6. Naviguez vers Configuration > Objet > Certificat, cliquez sur "Ajouter", choisissez "Nom de domaine de l'hôte", tapez le nom de domaine ou DynDNS, descendez jusqu'à "Utilisation étendue de la clé" et cochez les trois cases "Authentification du serveur", "Authentification du client" et "Intermédiaire IKE" et cliquez sur "OK".
   
   
   
7. Double-cliquez sur ce certificat et faites défiler vers le bas pour utiliser "Exporter le certificat uniquement".
   
   
   
8. Naviguez vers Configuration > Réseau > VPN > VPN IPSec et cliquez sur "Ajouter", cliquez sur "Afficher les paramètres avancés", cochez "Activer", choisissez "IKEv2", choisissez "Adresse dynamique" sous "Adresse de la passerelle homologue", cochez "Certificat" sous "Authentification" et choisissez le certificat que vous avez créé précédemment.
   
   
   
   
9. Faites défiler vers le bas pour choisir les propositions souhaitées sous "Phase 1 Settings", cochez "Enable Extended Authentication Protocol", choisissez "Server Mode", laissez "AAA Method" sur "default" et choisissez le groupe "IKEv2_Users" que vous avez créé précédemment pour "Allowed Users" avant de cliquer sur "OK".
   
   
   
10. Ouvrez maintenant l'onglet "Connexion VPN" ci-dessus, cliquez sur "Ajouter", cliquez sur "Afficher les paramètres avancés", cochez "Activer", choisissez "Accès à distance (rôle de serveur)" pour le "Scénario d'application", choisissez votre passerelle VPN précédemment créée pour "Passerelle VPN", sous "Politique locale" choisissez l'objet de la plage IP précédemment créée "All_Traffic".
    
    
11. Cochez "Enable Configuration Payload", choisissez l'objet "IKEv2_Pool" comme "Pool d'adresses IP" (les serveurs DNS sont facultatifs), choisissez les propositions souhaitées pour la connexion VPN et cliquez enfin sur "OK" pour terminer la configuration de la connexion VPN.
    
    
    
    
12. Naviguez maintenant vers Configuration > Objet > Réseau > Routage, cliquez sur "Ajouter", cochez "Activer", choisissez "Tunnel" pour "Entrant", choisissez la connexion IPSec précédemment créée pour "Veuillez sélectionner un membre", choisissez le "IKEv2_Pool" pour l'"Adresse Source" et enfin choisissez votre Interface WAN ou le Trunk WAN comme "Next Hop" avant de cliquer sur "OK".
    

B) Configurer le client SecuExtender

1. Ouvrez le client IPSec, faites un clic droit sur le dossier "IKE V2" sur le côté gauche pour ajouter un nouveau "Ikev2Gateway", entrez le nom de domaine que vous avez également entré dans le certificat sur l'USG pour la "Remote Gateway" et choisissez les propositions correspondantes sous "Cryptography".
   
2. Cliquez avec le bouton droit sur la passerelle VPN sur le côté gauche pour ajouter la connexion VPN, choisissez le "Type d'adresse" "Adresse de sous-réseau", saisissez l'adresse de sous-réseau et le masque de sous-réseau du sous-réseau local sur le site de l'USG, auquel les clients doivent avoir accès et choisissez les propositions correspondantes pour la connexion VPN.
   
   
   
3. Si la "Durée de vie de la SA enfant" ne correspond pas à celle configurée sur l'USG, veuillez l'ajuster avant d'ouvrir définitivement le tunnel en effectuant un nouveau clic droit sur la connexion VPN sur le côté gauche.

C) Impossible d'importer un fichier .tgb sur MacOS

Si vous obtenez cette erreur de fichier TGB "TGBErrorCodeMgrNotCreated.description", sur votre MacOS, cela est lié aux paramètres de confidentialité dans le MacOS. Vous devez permettre à SecuExtender d'être reconnu dans votre système d'exploitation.

Naviguez vers Paramètres -> Confidentialité et sécurité -> Sécurité et sélectionnez "App Store et développeurs identifiés". Ensuite, "SecuExtender VPN Client" devrait apparaître, et vous devez cliquer sur "Autoriser" :

Vous pouvez maintenant importer le fichier .tgb avec succès dans le client SecuExtender sur MacOS pour obtenir votre configuration.

+++ Vous pouvez acheter des licences pour vos clients VPN Zyxel (SSL VPN, IPsec) avec livraison immédiate en 1 clic : Zyxel Webstore +++