Avis important : |
Vue d'ensemble
Un VPN (réseau privé virtuel) permet d'établir des communications sécurisées entre des sites sans avoir recours à des lignes louées. Les VPN sont utilisés pour transporter le trafic sur l'internet d'un réseau non sécurisé qui utilise les communications TCP/IP. Un VPN d'accès à distance (client à site) permet aux employés en déplacement ou aux télétravailleurs d'accéder en toute sécurité aux ressources du réseau de l'entreprise. Il existe de nombreux types de protocoles/technologies VPN qui peuvent être utilisés pour établir un lien sécurisé avec le réseau de l'entreprise : L2TP, PPTP, SSL, OpenVPN, etc. Ce guide fait référence au protocole IPSec pour établir un tunnel VPN sécurisé entre des hôtes externes (utilisateurs connectés à Internet en dehors de la structure du réseau de l'entreprise) et le routeur ZyWALL. Un logiciel IPSec tiers est nécessaire pour établir la connexion VPN, car les systèmes d'exploitation actuels ne disposent pas d'un client IPSec intégré.
1. Passerelle VPN (phase 1)
2. Connexion VPN (phase 2)
3. Configuration de l'approvisionnement
4. Client VPN ZyWALL
5. Test et dépannage
Passerelle VPN (Phase 1)
Connectez-vous à la page de configuration web du ZyWALL et allez dans le menu Configuration → VPN → IPSec VPN. Dans le menu VPN IPSec, cliquez sur l'onglet VPNGateway pour ajouter la phase 1 de la configuration du tunnel. Cliquez sur le bouton Add pour insérer une nouvelle règle. En haut à gauche de la fenêtre, cliquez sur le bouton Show Advanced Settings pour afficher toutes les options du menu.
- Cochez la case pour activer la règle VPN et donnez-lui un nom.
- Sélectionnez l'interface WAN que vous souhaitez utiliser pour connecter le VPN dans le champ déroulant My Address .
- Assurez-vous que l'adresse Peer Gateway Address est réglée sur "Dynamic Address" (adresse dynamique).
- Saisissez/créez une "clé pré-partagée" d'authentification VPN.
- Sous Phase 1 Settings, réglez la liste déroulante Negotiation Mode pour utiliser le mode "Main".
- Définissez les propositions de "chiffrement" et d'"authentification" que vous souhaitez utiliser (les options de chiffrement sont DES, 3DES, AES128, AES192, AES256) (les options d'authentification sont MD5, SHA1, SHA256, SHA512).
- Sélectionnez le groupe de clés Diffie-Hellman (les options sont DH1, DH2, DH5).
Remarque : Le symbole d'avertissement à droite apparaît dans les zones où une saisie est nécessaire ou en cas d'erreur de saisie, par exemple en cas de caractères illégaux/non pris en charge.
Connexion VPN (phase 2)
Maintenant que la règle VPN Gateway (Phase 1) a été créée, cliquez sur l'onglet VPNConnection pour insérer la règle Phase 2 pour le tunnel VPN. Cliquez sur le bouton Add pour insérer une règle. En haut à gauche de la fenêtre, cliquez sur le bouton Show Advanced Settings pour afficher toutes les options du menu.
- Cochez la case pour activer la règle et donnez-lui un nom
- Définissez le scénario d'application VPNGateway pour utiliser "Remote Access (Server Role)" (Accès à distance (rôle de serveur))
- Pour le scénario d'application, paramétrez la liste déroulante Passerelle VPN pour qu'elle utilise la politique Phase 1 créée à l'étape précédente. (RoadWarrior pour cet exemple)
- Faites défiler la liste jusqu'à l'option Policy et définissez la politique locale pour utiliser l'objet d'adresse "LAN1_SUBNET". Cela permettra à l'utilisateur du VPN d'accéder à tous les périphériques connectés au LAN1.
- Le protocole actif sous Phase 2 Setting doit être réglé sur "ESP"
- L'encapsulation est "Tunnel"
- Définissez les propositions de chiffrement et d'authentification que vous souhaitez utiliser (les options de chiffrement sont DES, 3DES, AES128, AES192, AES256) (les options d'authentification sont MD5, SHA1, SHA256, SHA512).
- Perfect Forward Secrecy (PFS) est un niveau de cryptage supplémentaire. Il n'est pas nécessaire de l'activer, mais si vous souhaitez utiliser le niveau de cryptage supplémentaire, les options sont None, DH1, DH2 et/ou DH5.
- Sous Related Settings, assurez-vous que la zone est définie sur "IPSec_VPN"
Maintenant que les phases 1 et 2 de la règle VPN sont terminées, décochez la case "Use Policy Route to control dynamic IPSec rules". En décochant cette option, le ZyWALL créera automatiquement des routes pour les utilisateurs VPN connectés.
Provisionnement de la configuration
Certains clients VPN tels que "ZyWALL IPSec VPN Client" et "TheGreenBow VPN Client" ont une option de provisionnement qui leur permet de télécharger les paramètres que vous avez configurés règle VPN au lieu d'avoir à configurer le client manuellement. Pour configurer le provisionnement VPN pour la règle VPN dynamique RoadWarrior, il suffit de créer l'onglet Configuration Provisioning dans le menu VPN IPSec(Configuration → VPN → VPN IPSec).
Avant de configurer le provisionnement, nous devons créer un compte utilisateur pour permettre le téléchargement des paramètres. Allez sur Configuration → Object → User/Group et cliquez sur le bouton Add pour insérer un compte de niveau "User". Les comptes administratifs ne peuvent pas utiliser l'option de téléchargement du provisionnement de la configuration.
Maintenant que le compte utilisateur a été créé, allez sur Configuration → VPN → IPSec VPN et cliquez sur l'onglet Configuration Provisioning pour insérer une règle autorisant le téléchargement des paramètres VPN du client VPN RoadWarrior.
- Activer le menu VPN Configuration Provisioning
- Cliquez sur le bouton Add pour créer une règle autorisant le provisionnement de la "RoadWarrior_Connection" VPNConnection pour le "VPN-user" Allowed User. Assurez-vous que la règle est activée et cliquez sur Apply pour enregistrer les paramètres.
Client VPN ZyWALL
Pour télécharger les paramètres de provisionnement de la configuration VPN configurés sur le routeur, ouvrez le logiciel client, cliquez sur le menu Configuration et sélectionnez l'option "Get from Server".
Saisissez l'adresse IP publique, le nom de domaine ou le nom DDNS associé au routeur ZyWALL. Le client télécharge la configuration via SSL. Par défaut, le ZyWALL est programmé pour utiliser le port 443 pour SSL. Si vous avez modifié le port, veuillez indiquer le nouveau port SSL. Saisissez le nom d'utilisateur et le mot de passe associés à la configuration de provisionnement et cliquez sur Next.
Remarque : cela ne fonctionne que si la gestion à distance est activée sur le routeur ZyWALL. Si la gestion à distance a été désactivée, la fonction de provisionnement de la configuration ne pourra pas récupérer automatiquement les paramètres de configuration du VPN à partir du routeur ZyWALL.
Le client enverra la demande de téléchargement des paramètres de configuration VPN au routeur ZyWALL.
Maintenant que la configuration a été téléchargée, vous pouvez établir un tunnel VPN entre votre ordinateur et le routeur ZyWALL. Cliquez avec le bouton droit de la souris sur la partie phase 2 de la configuration et sélectionnez "Open Tunnel" pour lancer le composeur VPN.
Pour configurer un tunnel complet ou fractionné pour le trafic VPN, jetez un coup d'œil ici :
Test et dépannage
Essayez d'établir une connexion VPN avec le routeur. Une fois la connexion établie, essayez d'envoyer un ping ou d'accéder à des ressources du réseau distant.
- Si vous ne parvenez pas à faire transiter le trafic par le tunnel VPN, procédez comme suit
- Désactivez le pare-feu de l'hôte distant pour vous assurer qu'il ne bloque pas la requête.
- Vous tentez d'accéder aux ressources en utilisant le nom d'hôte de l'ordinateur ? Essayez plutôt d'utiliser l'adresse IP attribuée à l'ordinateur. L'utilisation d'un nom d'hôte d'ordinateur nécessite le protocole de diffusion NetBIOS pour résoudre l'adresse IP de l'ordinateur ; la norme IPSec ne prend pas en charge les diffusions. La norme VPN IPSec ne prenant pas en charge les diffusions, nous ne pouvons pas garantir que l'utilisation de noms d'hôtes au lieu d'adresses IP fonctionnera. Une solution pour contourner cette limitation de la norme IPSec consisterait à utiliser un serveur WINS.
- Désactivez le pare-feu du routeur ZyWALL.
- Assurez-vous qu'il n'y a pas de conflit d'adresses IP. Si le réseau ZyWALL est configuré pour utiliser le réseau 192.168.1.0/24 et que l'utilisateur distant utilise également le même schéma IP, le trafic ne passera pas correctement par le tunnel VPN.
- Vérifiez la passerelle du réseau hôte, si le routeur local (pas le ZyWALL) n'a pas activé le VPN pass-through ou les ports nécessaires ouverts, le VPN peut ne pas fonctionner correctement.
- Contactez le support technique pour obtenir de l'aide.
- Le tunnel VPN ne s'établit pas/connecte :
- Assurez-vous que votre routeur réseau autorise le passage des ports IPSec (UDP:500 et UDP:4500) ou veillez à activer le VPN pass-through si le routeur prend en charge cette option. Il est possible de contourner le routeur pour s'assurer qu'il n'est pas à l'origine du problème.
- Assurez-vous que votre fournisseur d'accès ne bloque pas les ports VPN ; certains fournisseurs bloquent les ports VPN de leur côté.
- Vérifiez que le pare-feu de votre ordinateur autorise les communications du client VPN.
- Mettez à jour les pilotes de vos cartes NIC (Ethernet et/ou Wi-Fi).
- Vérifiez les paramètres VPN sur le ZyWALL et assurez-vous qu'ils correspondent à la configuration du logiciel client.
- Contactez le support technique pour obtenir de l'aide.
Vidéo :
+++ Vous pouvez acheter des licences pour vos clients VPN Zyxel (SSL VPN, IPsec) avec livraison immédiate en 1 clic : Zyxel Webstore +++
Commentaires
0 commentaireVous devez vous connecter pour laisser un commentaire.