Aperçu

Un VPN (réseau privé virtuel) fournit une communication sécurisée entre les sites sans les frais de lignes louées. Les VPN sont utilisés pour transporter le trafic sur Internet d'un réseau non sécurisé qui utilise les communications TCP/IP. Un VPN d'accès à distance (client-to-site) permet aux employés en déplacement ou aux télétravailleurs de sécuriser l'accès aux ressources du réseau de l'entreprise. Il existe plusieurs types de protocoles/technologies VPN qui peuvent être utilisés pour établir un lien sécurisé avec le réseau de l'entreprise, L2TP, PPTP, SSL, OpenVPN, etc. Ce guide fera référence au protocole IPSec pour établir un tunnel VPN sécurisé entre des hôtes externes ( utilisateurs connectés à Internet en dehors de la structure du réseau de l'entreprise) et le routeur ZyWALL. Un logiciel IPSec tiers est requis pour établir la connexion VPN car les systèmes d'exploitation actuels ne disposent pas d'un client IPSec intégré.

1. VPN Gateway (Phase 1)
2. Connexion VPN (Phase 2)
3. Approvisionnement de configuration
4. Client VPN ZyWALL
5. Test et dépannage

VPN Gateway (Phase 1)

Connectez-vous à la page de configuration Web de ZyWALL et accédez au menu Configuration → VPN → VPN IPSec . Dans le menu VPN IPSec, cliquez sur le VPN Gateway pour ajouter la phase 1 de la configuration du tunnel. Clique le Ajouter bouton pour insérer une nouvelle règle. En haut à gauche de la fenêtre, cliquez sur le Afficher les paramètres avancés bouton pour afficher toutes les options dans le menu.

• Cochez la case pour activer la règle VPN et fournissez un nom
• Sélectionnez l'interface WAN que vous souhaitez utiliser pour connecter le VPN sous le Mon adresse champ déroulant
• Assurez-vous que le Adresse du pair Gateway est réglé sur « Adresse dynamique »
• Entrez/Créez une authentification VPN « Clé pré-partagée »
• Sous le Paramètres de la phase 1, définissez la liste déroulante du mode de négociation pour utiliser le mode « principal »
• Définissez la proposition « Cryptage » et « Authentification » que vous souhaitez utiliser (les options de cryptage sont DES, 3DES, AES128, AES192, AES256) (les options d'authentification sont MD5, SHA1, SHA256, SHA512)
• Sélectionnez le groupe de clés Diffie-Hellman (les options sont DH1, DH2, DH5)
  
  Remarque : le symbole d'avertissement à droite apparaîtra dans les zones où une saisie est requise ou une erreur dans la saisie, comme des caractères illégaux/non pris en charge.
  

Connexion VPN (Phase 2)

Maintenant que la règle VPN Gateway (Phase 1) a été créée, cliquez sur le Connexion VPN pour insérer la règle Phase 2 pour le tunnel VPN. Clique le Ajouter bouton pour insérer une règle. En haut à gauche de la fenêtre, cliquez sur le Afficher les paramètres avancés bouton pour afficher toutes les options dans le menu.

• Cochez la case pour activer la règle et donnez-lui un nom
• Met le VPN Gateway scénario d'application pour utiliser « Accès à distance (rôle de serveur) »
• Pour le scénario d'application, définissez la liste déroulante VPN Gateway pour utiliser la stratégie de phase 1 créée à l'étape précédente. (RoadWarrior pour cet exemple)
• Faites défiler jusqu'au Politique et définissez la politique locale pour utiliser l'objet d'adresse « LAN1_SUBNET ». Cela donnera à l'utilisateur VPN un accès sur tous les appareils connectés au LAN1
• Protocole actif sous le Réglage de la phase 2 doit être réglé sur « ESP »
• L'encapsulation est « Tunnel »
• Définissez la proposition « Cryptage » et « Authentification » que vous souhaitez utiliser (les options de cryptage sont DES, 3DES, AES128, AES192, AES256) (les options d'authentification sont MD5, SHA1, SHA256, SHA512)
• Perfect Forward Secrecy (PFS) est un niveau de cryptage supplémentaire. Il n'est pas nécessaire de l'activer, mais si vous souhaitez utiliser le niveau de cryptage ajouté, les options sont Aucun, DH1, DH2 et/ou DH5.
• Sous Paramètres associés, assurez-vous que la zone est définie sur « IPSec_VPN »
  
  

Maintenant que les phases 1 et 2 de la règle VPN sont terminées, décochez la case « Utiliser la route de politique pour contrôler les règles IPSec dynamiques ». Décocher cette option permettra au ZyWALL de créer automatiquement des routes pour les utilisateurs VPN connectés.

Approvisionnement de configuration

Certains clients VPN tels que le « Client VPN ZyWALL IPSec » et le « Client VPN TheGreenBow » disposent d'une option de provisionnement qui leur permet de télécharger les paramètres que vous avez configurés pour la règle VPN au lieu d'avoir à configurer le client manuellement. Pour configurer le provisionnement VPN pour la règle VPN dynamique RoadWarrior, nous venons de créer le Approvisionnement de configuration dans le menu VPN IPSec ( Configuration → VPN → VPN IPSec ).

Avant de configurer le provisionnement, nous devons créer un compte utilisateur pour permettre le téléchargement des paramètres. Aller à Configuration → Objet → Utilisateur/Groupe et cliquez sur le Ajouter pour insérer un compte de niveau « Utilisateur ». Les comptes administratifs ne peuvent pas utiliser l'option de téléchargement d'approvisionnement de configuration.

Maintenant que le compte utilisateur a été créé, accédez à Configuration → VPN → VPN IPSec et cliquez sur le Approvisionnement de configuration pour insérer une règle autorisant le téléchargement du client VPN des paramètres VPN de RoadWarrior.

• Activer le menu d'approvisionnement de la configuration VPN
• Clique le Ajouter bouton pour créer une règle pour permettre l'approvisionnement de la « RoadWarrior_Connection » Connexion VPN pour le « utilisateur VPN » Utilisateur autorisé . Assurez-vous que la règle est activée et cliquez sur Appliquer pour enregistrer les paramètres.
  

Client VPN ZyWALL

Pour télécharger les paramètres d'approvisionnement de la configuration VPN configurés sur le routeur, ouvrez le logiciel client, cliquez sur le bouton Configuration menu et sélectionnez l'option « Obtenir à partir du serveur ».

Saisissez l'adresse IP publique, le nom de domaine ou le nom DDNS associé au routeur ZyWALL. Le client télécharge le paramètre via SSL. Par défaut, le ZyWALL est programmé pour utiliser le port 443 pour SSL. Si vous avez modifié le port, veuillez fournir le nouveau port SSL. Saisissez le nom d'utilisateur et le mot de passe associés à la configuration d'approvisionnement et cliquez sur Suivant .

Remarque : cela ne fonctionne que lorsque la gestion à distance est activée sur le routeur ZyWALL, si la gestion à distance a été désactivée, la fonction de provisionnement de la configuration ne pourra pas récupérer automatiquement les paramètres de configuration VPN à partir du routeur ZyWALL.

Le client enverra la demande de téléchargement des paramètres de configuration VPN au routeur ZyWALL.

Maintenant que la configuration a été téléchargée, vous pouvez établir un tunnel VPN entre votre ordinateur et le routeur ZyWALL. Cliquez avec le bouton droit sur la partie phase 2 de la configuration et sélectionnez « Ouvrir le tunnel » pour lancer le numéroteur VPN.

Pour configurer un tunnel complet ou divisé pour le trafic VPN, jetez un œil ici :

Tunneling VPN complet/split

Tests et dépannage

Essayez d'établir une connexion VPN avec le routeur. Une fois la connexion établie ; essayez de faire un ping ou d'accéder à toutes les ressources du réseau distant.

1. Si vous ne pouvez pas obtenir de trafic via le tunnel VPN :

• Désactivez le pare-feu sur l'hôte distant pour vous assurer qu'il ne bloque pas la demande.
• Vous essayez d'accéder aux ressources à l'aide du nom d'hôte de l'ordinateur ? Essayez plutôt d'utiliser l'adresse IP attribuée à l'ordinateur. L'utilisation d'un nom d'hôte d'ordinateur requiert le protocole de diffusion NetBIOS pour résoudre l'adresse IP de l'ordinateur ; la norme IPSec ne prend pas en charge les diffusions. Étant donné que la norme VPN IPSec ne prend pas en charge les diffusions, nous ne pouvons garantir que l'utilisation de noms d'hôte au lieu d'adresses IP fonctionnera. Une solution de contournement pour cette limitation de la norme IPSec serait d'utiliser un serveur WINS.
• Désactivez le pare-feu du routeur ZyWALL.
• Assurez-vous qu'il n'y a pas de conflits IP. Si le réseau ZyWALL est configuré pour utiliser le réseau 192.168.1.0/24 et que l'utilisateur distant utilise également le même schéma IP, le trafic ne passera pas correctement par le tunnel VPN.
• Vérifiez la passerelle du réseau hôte, si le routeur local (pas le ZyWALL) n'a pas le VPN pass-through activé ou les ports nécessaires ouverts, le VPN peut ne pas fonctionner correctement.
• Contactez le support technique pour obtenir de l'aide.
• Le tunnel VPN ne s'établira/ne se connectera pas :

• Assurez-vous que votre routeur réseau autorise le passage des ports IPSec (UDP:500 et UDP:4500) ou assurez-vous d'activer le pass-through VPN si le routeur prend en charge cette option. Il est possible de contourner le routeur pour s'assurer qu'il n'est pas à l'origine du problème.
• Assurez-vous que votre FAI ne bloque pas les ports VPN ; certains fournisseurs bloqueront les ports VPN de leur côté.
• Vérifiez que le pare-feu de votre ordinateur autorise les communications depuis le client VPN.
• Mettez à jour les pilotes de vos cartes NIC (Ethernet et/ou Wi-Fi).
• Vérifiez les paramètres VPN sur le ZyWALL et assurez-vous qu'ils correspondent à la configuration du logiciel client.
• Contactez le support technique pour obtenir de l'aide.

Vidéo:

+++ Vous pouvez acheter des licences pour vos clients VPN Zyxel (VPN SSL, IPsec) avec livraison immédiate en 1 clic : Zyxel Webstore +++

CLAUSE DE NON-RESPONSABILITÉ:

Cher client, sachez que nous utilisons la traduction automatique pour fournir des articles dans votre langue locale. Tous les textes peuvent ne pas être traduits avec précision. S'il y a des questions ou des divergences sur l'exactitude des informations dans la version traduite, veuillez consulter l'article original ici : Version originale