Cet article montre comment configurer L2TP sur IPSec en mode autonome pour les séries USG FLEX / ATP / VPN, comment configurer l'assistant, télécharger la configuration, configurer manuellement L2TP via le menu passerelle VPN & connexion, ce qu'il faut autoriser dans les règles de pare-feu, comment activer l'accès Internet pour L2TP (pas d'Internet), restaurer la configuration par défaut, configurer les utilisateurs VPN, établir un VPN depuis le LAN, utiliser des serveurs externes pour authentifier les utilisateurs, dépanner à l'aide des journaux, configurer MS-CHAPv2.
Qu'est-ce que le VPN L2TP sur IPSec ?
Avant de commencer le guide de configuration, faisons une introduction au VPN L2TP sur IPSec.
L2TP sur IPSec combine le protocole Layer 2 Tunneling Protocol (L2TP, qui fournit une connexion point à point) avec le protocole IPSec. L2TP seul ne fournit aucune encryption du contenu, et c'est pourquoi le tunnel est généralement construit sur un protocole d'encryption de couche 3, IPsec, donnant ainsi le VPN dit L2TP sur IPSec.
Dans ce manuel, vous pouvez explorer toutes les informations nécessaires pour les connexions VPN L2TP sur les dispositifs pare-feu Zyxel, en explorant les méthodes de configuration (via l'assistant et manuellement), la configuration client pour Windows, MAC et Linux ; ainsi que des configurations plus avancées pour l'authentification, différentes topologies et le dépannage sur les dispositifs pare-feu et les dispositifs clients. Un accès au laboratoire virtuel est également défini où il est possible de revoir notre configuration qui peut aussi être utilisée lors de la mise en place du VPN distant sur votre appareil.
Configurer le VPN L2TP à l'aide de l'assistant intégré
Naviguer vers l'Assistant
a. Ouvrez l’onglet Configuration rapide et dans la fenêtre pop-up, sélectionnez Configuration VPN d'accès distant :
Sélectionnez le scénario Client L2TP sur IPSec
Configurer la configuration VPN
Entrez une clé pré-partagée préférée et sélectionnez l’interface WAN correspondante.
Configurer l'authentification utilisateur
Enregistrer la configuration & Télécharger la configuration L2TP
Configuration > Politique de sécurité > Contrôle des politiques Configurer manuellement le VPN L2TP/IPSec
Les étapes suivantes décrivent comment configurer manuellement un VPN L2TP sur IPSec. La topologie et l’application sont les mêmes que lors de l’utilisation de l’assistant, la seule différence réside dans les étapes de configuration.
Configurer la passerelle VPN
Allez au chemin suivant et créez une nouvelle passerelle VPN :
Configuration > VPN > VPN IPSEC > Passerelle VPNVeuillez cliquer sur "Afficher les paramètres avancés". Entrez un nom pour la passerelle, choisissez votre interface WAN et ajoutez une clé pré-partagée :
Définissez le mode de négociation sur Main et ajoutez les propositions (communes) suivantes, puis confirmez en cliquant sur OK :
Configurer la connexion VPN
Allez au chemin suivant et créez une nouvelle connexion VPN :
Configuration > VPN > VPN IPSec > Connexion VPNVeuillez cliquer sur "Afficher les paramètres avancés". Entrez le nom de la connexion, définissez le scénario d'application sur Accès distant (Rôle serveur) et sélectionnez la passerelle VPN que vous avez créée précédemment :
Pour la politique locale, créez un nouvel objet adresse IPv4 (à partir du bouton "Créer un nouvel objet") pour votre IP WAN réelle puis affectez-le à la connexion VPN comme politique locale :
Définissez l'encapsulation sur Transport et ajoutez les propositions suivantes puis confirmez en cliquant sur OK :
Configurer les paramètres VPN L2TP
Maintenant que les paramètres IPSec sont terminés, les paramètres L2TP doivent être configurés. Allez au chemin suivant :
Configuration -> VPN -> Paramètres VPN L2TPSi nécessaire, créez un ou plusieurs utilisateurs locaux qui seront autorisés à se connecter au VPN :
Créez une pool d'adresses IP L2TP avec une plage d'adresses IP qui sera utilisée par les clients lorsqu'ils sont connectés au VPN L2TP/IPSec.
Remarque : Cela ne doit pas entrer en conflit avec les sous-réseaux WAN, LAN, DMZ ou WLAN, même s'ils ne sont pas utilisés.
Résumé des paramètres L2TP
Passons maintenant aux paramètres L2TP :
- Définissez la connexion VPN créée en 2.2 Configurer la connexion VPN
- Pour la pool d’adresses IP, vous pouvez définir l’objet de plage IP L2TP
- La méthode d’authentification peut être définie par défaut pour l’authentification des utilisateurs locaux
- Les utilisateurs autorisés peuvent être définis pour l’utilisateur. Si plusieurs utilisateurs sont nécessaires, un groupe d’utilisateurs peut être créé dans la page Objet.
- Les serveurs DNS et WINS peuvent être sélectionnés pour être le dispositif pare-feu lui-même (Zywall) ou une adresse IP de serveur personnalisée.
- Si un accès Internet est nécessaire via le dispositif pare-feu pendant la connexion au VPN L2TP/IPSec, assurez-vous que l’option "Autoriser le trafic via la zone WAN" est activée.
- Cliquez sur "Appliquer" pour sauvegarder les paramètres. Ainsi, le VPN L2TP/IPSec est maintenant prêt.
Configurations indispensables - Autoriser les ports UDP 4500 & 500
Assurez-vous que les règles de pare-feu autorisent l'accès aux ports UDP 4500 et 500 depuis le WAN vers Zywall, et que la zone par défaut IPSec_VPN a accès aux ressources réseau. Cela peut être vérifié dans :
Configuration > Politique de sécurité > Contrôle des politiques Activer l'accès Internet via L2TP via les routes de politique
Si une partie du trafic des clients L2TP doit aller sur Internet, créez une route de politique pour envoyer le trafic des tunnels L2TP via un trunk WAN.
Configuration > Réseau > Routage > Route de politiqueDéfinissez Entrant sur Tunnel et sélectionnez votre connexion VPN L2TP. Définissez l’Adresse source comme étant la pool d’adresses L2TP. Définissez le Type de saut suivant sur Trunk et sélectionnez le trunk WAN approprié.
Conseils & dépannage - Restauration de la configuration par défaut du VPN L2TP
Dans certains cas, il peut être nécessaire de repartir à zéro avec vos paramètres VPN L2TP sur la page :
Configuration > VPN > VPN L2TPConfigurer les clients VPN L2TP
L2TP sur IPSec est très populaire et couramment pris en charge par de nombreuses plateformes d’appareils finaux avec leurs propres clients intégrés.
Voici quelques-uns des plus courants et comment les configurer :
Windows/MacOS/Linux :
Configuration avancée : Établir un VPN L2TP depuis le LAN :
Le VPN est une fonction populaire pour chiffrer les paquets lors de la transmission des données.
Dans la conception actuelle de ZyWALL/USG/ATP, lorsque l’interface VPN est basée sur l’interface WAN1, la demande VPN doit provenir de l’interface WAN1 (interface restreinte), sinon la demande sera refusée. (par ex. connexion VPN venant de LAN1)
Cependant, dans certains scénarios, les utilisateurs peuvent avoir besoin d’établir le tunnel VPN non seulement depuis le WAN mais aussi depuis le LAN.
Ce scénario est également pris en charge par ZyWALL/USG/ATP. Les utilisateurs peuvent suivre la procédure ci-dessous pour désactiver la restriction d’interface VPN afin que la connexion VPN puisse ensuite provenir à la fois du WAN et du LAN.
Version du firmware USG : 4.32 ou supérieure
Configuration USG :
Pour activer L2TP depuis le LAN, vous devez accéder à votre appareil via une connexion terminal (Série, Telnet, SSH) et entrer les commandes suivantes :
Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Redémarrez l’appareil.Configuration avancée : Utiliser des serveurs externes pour authentifier les utilisateurs se connectant au VPN L2TP
Cette section décrit comment configurer L2TP sur IPSec avec MS-CHAPv2 sur les séries USG/Zywall. Pour des implémentations avancées, l’authentification des utilisateurs avec les serveurs Active Directory (AD) peut être mise en œuvre sur l’authentification VPN L2TP/IPSec.
Scénario :
Domaine AD : USG.com (10.214.30.72)
USG110 : 10.214.30.103
1. Naviguez vers Configuration>Objet>Serveur AAA. Activez l’authentification de domaine pour MSCHAP
Les identifiants sont généralement les mêmes que ceux de l’administrateur AD.
2. Allez dans Système>Nom d’hôte, saisissez le domaine AD dans Nom de domaine
Ce flux permet au USG de rejoindre le domaine AD. Le tunnel ne sera établi avec succès que si cette partie fonctionne.
3. Confirmez si le USG a rejoint le domaine. Naviguez vers Utilisateurs et ordinateurs Active Directory>Ordinateurs
Dans ce cas, vous pouvez voir que le usg110 a rejoint le domaine. Vous pouvez également vérifier les informations détaillées dans l’onglet Propriétés>Objet par clic droit.
4. Modifiez la zone de domaine, saisissez le nom de domaine dans Système> DNS >Zone de domaine Forwarder.
Parfois, il peut y avoir un délai d’attente lors de la composition du tunnel, vous devez donc configurer le paramètre suivant, l’interface de requête est là où se trouve votre serveur AD.
5. Vérifiez les paramètres de connexion sur votre Windows.
Assurez-vous d’avoir activé (MS-CHAP v2) et d’avoir saisi la clé pré-partagée dans les paramètres avancés.
6. Vérifiez les informations de connexion dans la page Surveillance>. L’utilisateur AD doit apparaître dans la liste des utilisateurs actuels une fois le tunnel établi avec succès.
Vous pouvez voir que le type d’utilisateur est L2TP et que les informations utilisateur indiquent un utilisateur externe.
Commentaires
0 commentaireVous devez vous connecter pour laisser un commentaire.