VPN - Configurer le VPN L2TP sur IPSec à l'aide de PSK [Mode autonome].

Création - Mise à jour
Serhii Boiarynov
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

Avis important :
Chers clients, sachez que nous utilisons la traduction automatique pour vous fournir des articles dans votre langue locale. Il se peut que certains textes ne soient pas traduits correctement. En cas de questions ou de divergences sur l'exactitude des informations contenues dans la version traduite, veuillez consulter l'article original ici: Version originale

Cet article montre comment configurer L2TP sur IPSec en mode autonome pour la série USG FLEX / ATP / VPN et comment configurer l'assistant, télécharger la configuration, configurer L2TP manuellement en utilisant le menu passerelle & connexion VPN, que faut-il autoriser dans les règles du pare-feu, comment activer l'accès internet pour L2TP (pas d'internet), restaurer la configuration par défaut, configurer les utilisateurs VPN, établir un VPN à partir du LAN, utiliser des serveurs externes pour authentifier les utilisateurs, dépanner en utilisant les logs, configurer MS-CHAPv2.

Table des matières

1. Configurer le VPN L2TP à l'aide de l'assistant intégré

1.1 Accéder à l'assistant

1.2 Sélectionner le scénario L2TP over IPSec Client Scenario

1.3 Configurer le VPN

1.4 Configurer l'authentification de l'utilisateur

1.5 Sauvegarder la configuration et télécharger la configuration L2TP

2) Configurer manuellement le VPN L2TP/IPSec

2.1 Configurer la passerelle VPN

2.2 Configurer la connexion VPN

2.3 Configuration des paramètres du VPN L2TP

2.4 Résumé des paramètres L2TP

3) Configurations indispensables

3.1 Autoriser les ports UDP 4500 & 500

3.2 Activer l'accès à l'internet par L2TP via les routes de stratégie

4. Conseils et dépannage

4.1 Restauration de la configuration par défaut du VPN L2TP

4.2 Configuration des clients VPN L2TP

4.3 Configuration avancée : Etablir un VPN L2TP à partir du LAN :

4.4 Configuration avancée : Utilisation de serveurs externes pour authentifier les utilisateurs se connectant au VPN L2TP

4.5 L2TP sur VPN IPSec - Laboratoire virtuel

4.6 Dépannage

4.7 Configurer le L2TP MS-CHAPv2 sur la série USG/Zywall

Qu'est-ce que le L2TP sur VPN IPSec ?

Avant de commencer le guide de configuration, nous allons présenter le VPN L2TP over IPSec.

L2TP over IPSec combine le Layer 2 Tunneling Protocol (L2TP, qui fournit une connexion point à point) avec le protocole IPSec. Le L2TP seul n'assure pas le cryptage du contenu, c'est pourquoi le tunnel est généralement construit sur un protocole de cryptage de la couche 3, IPsec, ce qui donne ce que l'on appelle le VPN L2TP sur IPSec.

Dans ce manuel, vous pouvez explorer toutes les informations nécessaires pour les connexions VPN L2TP dans les dispositifs de pare-feu Zyxel, en explorant les méthodes de configuration (via l'assistant et manuellement), la configuration du client pour Windows, MAC et Linux, ainsi que des configurations plus avancées pour l'authentification, différentes topologies et le dépannage sur les dispositifs de pare-feu et les dispositifs clients. L'accès au laboratoire virtuel est également défini où il est possible de revoir notre configuration qui peut également être utilisée lors de la configuration du VPN à distance dans votre appareil.

1. Configurer le VPN L2TP à l'aide de l'assistant intégré

1.1 Accéder à l'assistant

a. Ouvrez l'onglet Quick Setup et dans la fenêtre pop-up, sélectionnez Remote Access VPN Setup:

mceclip0.png

1.2 Sélectionner le scénario client L2TP sur IPSec

mceclip1.png

1.3 Configuration du VPN

Saisissez uneclé prépartagée et sélectionnez l'interface WAN correspondante.

Ici, vous pouvez également décider si le trafic du périphérique client vers Internet est autorisé (règles de pare-feu et itinéraires) à passer par le dispositif de pare-feu au cas où le périphérique client n'a pas de jeu de tunnels divisés.
mceclip2.png
Définissez lepool d'adresses pour les utilisateurs L2TP lorsqu'ils sont connectés au VPN. Vous pouvez également choisir la plage prédéfinie 192.168.51.1-250 ici.
Remarque : il ne doit pas y avoir de chevauchement avec un réseau existant sur votre appareil.
Pour DNS , choisissez ZyWALL ou entrez un serveur manuellement.
mceclip3.png

1.4 Configuration de l'authentification de l'utilisateur

Sélectionnez un objet utilisateur existant pour l'ajouter à la liste des membres L2TP ou créez un nouvel utilisateur en cliquant sur le bouton"Ajouter un nouvel utilisateur".
mceclip4.png

1.5 Sauvegarder la configuration et télécharger la configuration L2TP

Après avoir cliqué sur "Enregistrer", le tunnel L2TP est prêt à être utilisé.
mceclip5.png
g. Assurez-vous que les règles du pare-feu autorisent l'accès aux ports UDP 4500 et 500 du WAN vers Zywall, et que la zone par défaut IPSec_VPN a accès aux ressources du réseau. Ceci peut être vérifié dans :
Configuration  > Security Policy > Policy Control 

2) Configurer manuellement le VPN L2TP/IPSec

Les paragraphes suivants décrivent les étapes nécessaires à la configuration manuelle d'un VPN L2TP sur IPSec. La topologie et l'application sont les mêmes que lors de l'utilisation de l'assistant, la seule différence réside dans les étapes de la configuration.

2.1 Configuration de la passerelle VPN

Allez sur le chemin suivant et créez une nouvelle passerelle VPN :

Configuration > VPN > IPSEC VPN > VPN Gateway

Cliquez sur "Afficher les paramètres avancés". Entrez un nom pour la passerelle, choisissez votre interface WAN et ajoutez une clé pré-partagée :

L2TP_1.PNG

Réglez le mode de négociation sur Principal et ajoutez les propositions suivantes (communes) et confirmez en cliquant sur OK :

L2TP_2.PNG

2.2 Configurer la connexion VPN

Allez au chemin suivant et créez une nouvelle connexion VPN :

 Configuration > VPN > IPSec VPN > VPN Connection

Cliquez sur "Afficher les paramètres avancés". Saisissez un nom pour la connexion, définissez le scénario d'application sur Accès à distance (rôle de serveur) et sélectionnez la passerelle VPN que vous avez créée précédemment :

L2TP_3.PNG

Pour la politique locale, créez un nouvel objet d'adresse IPv4 (à partir du bouton"Créer un nouvel objet") pour votre IP WAN réelle et définissez-le pour la connexion VPN en tant que politique locale:

L2TP_5.PNG

L2TP_6.PNG

Réglez l'encapsulation sur Transport et ajoutez les propositions suivantes, puis confirmez en cliquant sur OK :

L2TP_7.PNG

2.3 Configurer les paramètres du VPN L2TP

Maintenant que les paramètres IPSec sont terminés, les paramètres L2TP doivent être configurés. Allez dans le chemin suivant :

Configuration -> VPN -> L2TP VPN Settings

Si nécessaire, créez un nouvel utilisateur local qui sera autorisé à se connecter au VPN :
L2TP_8.PNG

L2TP_9.PNG

Créez un pool d'adresses IP L2TP avec une plage d'adresses IP qui doivent être utilisées par les clients lorsqu'ils sont connectés au VPN L2TP/IPSec.

Remarque : ce pool ne doit pas entrer en conflit avec les sous-réseaux WAN, LAN, DMZ ou WLAN, même s'ils ne sont pas utilisés.

L2TP_8.PNG

L2TP_10.PNG

2.4 Résumé des paramètres L2TP

Réglons maintenant les paramètres L2TP :

  • Définir la connexion VPN créée dans 2.2 Configurer la connexion VPN
  • Un pool d'adresses IP permet de définir l'objet de la plage d'adresses IP L2TP.
  • La méthode d'authentification peut être définie par défaut pour l'authentification de l'utilisateur local.
  • Les utilisateurs autorisés peuvent être définis pour l'utilisateur. Si plusieurs utilisateurs sont nécessaires, un groupe d'utilisateurs peut être créé sur la page Objet.
  • Le(s) serveur(s) DNS et le serveur WINS peuvent être sélectionnés comme étant le dispositif de pare-feu lui-même (Zywall) ou une adresse IP de serveur personnalisée.
  • Dans le cas où un accès à Internet est nécessaire à travers le pare-feu lorsqu'il est connecté au VPN L2TP/IPSec, assurez-vous que l'option "Autoriser le trafic à travers la zone WAN" est activée.
  • Cliquez sur "Appliquer" pour enregistrer les paramètres. Le VPN L2TP/IPSec en tant que tel est maintenant prêt.

L2TP_11.PNG

3) Configurations indispensables

3.1 Autoriser les ports UDP 4500 et 500

Assurez-vous que les règles du pare-feu autorisent l'accès aux ports UDP 4500 et 500 du WAN vers Zywall, et que la zone par défaut IPSec_VPN a accès aux ressources du réseau. Ceci peut être vérifié dans :

Configuration  > Security Policy > Policy Control 

3.2 Activer l'accès à Internet par L2TP via les routes de stratégie

Si une partie du trafic des clients L2TP doit aller sur Internet, créez une route de stratégie pour envoyer le trafic des tunnels L2TP via un tronc WAN.

Allez sur le chemin suivant et ajoutez une nouvelle route de stratégie :
Configuration > Network > Routing > Policy Route

Réglez Incoming sur Tunnel et sélectionnez votre connexion VPN L2TP. Définissez l' adresse source comme étant le pool d'adresses L2TP. Réglez le Next-Hop Type sur Trunk et sélectionnez le trunk WAN approprié.

L2TP_12.PNG

Pour plus de détails sur cette étape, veuillez consulter l'article :

Comment permettre aux clients L2TP de surfer via l'USG

4. Conseils et dépannage

4.1 Rétablissement de la configuration par défaut du VPN L2TP

Dans certains cas, il peut être nécessaire de donner un nouveau départ à vos paramètres VPN L2TP dans la page :

dyn_repppp_6

Si nécessaire, utilisez l'article suivant qui décrit les méthodes pour rétablir les paramètres par défaut.

ZyWALL USG : Restaurer la configuration par défaut du VPN-L2TP

4.2 Configuration des clients VPN L2TP

L2TP sur IPSec est très populaire et couramment pris en charge par de nombreuses plates-formes d'équipements finaux avec leurs propres clients intégrés.

Voici quelques-uns des clients les plus courants et la manière de les configurer :

4.3 Configuration avancée : Établir un VPN L2TP depuis le réseau local :

Le VPN est une fonction très répandue pour crypter les paquets lors de la transmission de données.

Dans la conception actuelle de ZyWALL/USG/ATP, lorsque l'interface VPN est basée sur l'interface WAN1, la demande de VPN doit provenir de l'interface WAN1 (interface restreinte), sinon la demande sera refusée. (par exemple, la connexion VPN provient de LAN1)

Cependant, dans certains scénarios, les utilisateurs peuvent avoir besoin d'établir le tunnel VPN non seulement à partir du WAN mais aussi du LAN.

Ce scénario est également pris en charge par le ZyWALL/USG/ATP. Les utilisateurs peuvent suivre la procédure ci-dessous pour désactiver la restriction de l'interface VPN afin que la connexion VPN puisse provenir à la fois du WAN/LAN.

Topologie :

mceclip6.png

USG Version du micrologiciel :

4.32 ou supérieure

Configuration de l'USG :

Pour activer le L2TP à partir du réseau local, vous devez accéder à votre appareil à l'aide d'une connexion de terminal (série, Telnet, SSH) et entrer les commandes suivantes :

Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)
#
 write
Redémarrez l' appareil.

4.4 Configuration avancée : Utilisation de serveurs externes pour authentifier les utilisateurs se connectant au VPN L2TP

Cette section décrit comment configurer L2TP sur IPSec avec MS-CHAPv2 sur la série USG/Zywall. Pour les implémentations avancées, l'authentification de l'utilisateur avec les serveurs Active Directory (AD) peut être mise en œuvre sur l'authentification VPN L2TP/IPSec.

Scénario:

Domaine AD : USG.com (10.214.30.72)

USG110 : 10.214.30.103

1. Naviguez jusqu'à Configuration>Objet>Serveur AAA. Activer l'authentification de domaine pour MSCHAP

L'identifiant est généralement le même que celui de l'administrateur AD.

mceclip11.png

2. Allez surSystem>Host Name,tapez le domaine ADdans Domain Name.

Ce flux permet à l'USG de se connecter au domaine AD. Le tunnel ne sera établi avec succès que si cette partie fonctionne.

mceclip12.png

3. Confirmez que l'USG a rejoint le domaine. Accédez à Active Directory Users and Computers>Computers (Utilisateurs et ordinateurs d'Active Directory).

Dans ce cas, vous pouvez trouver l'objet usg110 qui a rejoint le domaine. Vous pouvez également vérifier les informations détaillées dans l'onglet Propriétés>Objet en cliquant avec le bouton droit de la souris.

mceclip13.png

4. Modifier la zone de domaine, mettre le nom de domaine dans Système> DNS >Domain Zone Forwarder.

Il peut arriver que l'accès au tunnel soit interrompu, vous devez donc configurer les paramètres suivants : l'interface de requête est l'endroit où se trouve votre serveur AD.

mceclip15.png

5. Vérifiez les paramètres de connexion de votre Windows.

Assurez-vous d'avoir activé (MS-CHAP v2) et saisi la clé pré-partagée dans les paramètres avancés.

mceclip16.png

6. L'utilisateur AD devrait figurer dans la liste des utilisateurs actuels une fois que le tunnel a été emprunté avec succès.

Le type d'utilisateur est L2TP et les informations sur l'utilisateur sont celles d'un utilisateur externe.

mceclip17.png

Pour plus d'informations, l'article suivant détaille les authentifications supportées par nos Firewalls avec le VPN L2TP/IPSec :

ZyWALL USG - Authentification supportée par L2TP

4.5 L2TP sur VPNIPSec - Laboratoire virtuel

N'hésitez pas à jeter un coup d'oeil à notre laboratoire virtuel pour l'installation d'un VPN L2TP sur nos pare-feu. Grâce à ce laboratoire virtuel, vous pouvez voir la configuration correcte à des fins de comparaison lors de la mise en place de votre environnement :

Laboratoire virtuel - VPN de bout en bout (L2TP)

Articles dans cette section

Afficher plus
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 5 sur 10
Partager