Avis important : |
Dans ce guide, vous apprendrez comment configurer un VPN IKEv2 IPsec à l'aide de l'assistant d'installation (Quick Setup) sur le Firewall Zyxel VPN/USG FLEX/ATP series et comment vous y connecter sur Android, iPhone (iOS), Windows PCs, et Mac computers en utilisant à la fois Zyxel SecuExtender et le client natif. Nous aborderons également des considérations spécifiques pour configurer les VPN sur les appareils iOS, les appareils mobiles fonctionnant avec la version 18 et plus, et les PC avec le firmware Sonoma ou plus récent.
Remarque : les adresses IP indiquées dans la figure sont données à titre d'exemple uniquement et ne sont pas pertinentes pour l'ensemble de l'article. Elles peuvent être différentes dans votre cas.
Configuration du VPN via l'installation rapide
Connectez-vous à l'interface graphique WEB de votre pare-feu et allez dans Quick Setup, choisissez Remote Access VPN et ensuite IKEv2 IPSec Client (Zyxel SecuExtender, non-SecuExtender).
Utilisez cette option si vous utilisez le client VPN IPSec Zyxel SecuExtender ou un système d'exploitation informatique qui prend en charge le VPN IPSec avec IKEv2 (client VPN non-SecuExtender). Vous pouvez créer une règle VPN Full Tunnel ou Split Tunnel avec le client VPN Zyxel SecuExtender. Vous ne pouvez créer une règle de tunnel complet qu'avec le client VPN non-SecuExtender.
Configurez le pool d'adresses IP pour le client.
Le pool d'adresses IP utilisera un sous-réseau sélectionné et non utilisé sur l'appareil pour éviter de configurer le même sous-réseau. Le pool d'adresses IP commencera à 192.168.50.1 Si le sous-réseau 192.168.50.1 existe dans les paramètres de la passerelle, le pool d'adresses IP changera automatiquement.
Ajoutez ou créez des utilisateurs qui auront un accès VPN. Une fois les utilisateurs ajoutés, cliquez sur Suivant et vérifiez l'exactitude de tous les paramètres. Vous pouvez maintenant télécharger un script automatisé pour configurer le VPN ou le configurer manuellement à l'aide d'un certificat.
Une fois la configuration du VPN réussie, vous pouvez télécharger et installer les fichiers de script sur les appareils Windows, MacOS, iOS ou Android pour configurer automatiquement les paramètres du VPN.
Remarque : Les paramètres VPN pour les clients VPN IPSec non-SecuExtender ne prennent pas en charge les fonctionnalités suivantes :
- Limite de bande passante de téléchargement
- Tunnel inversé
- Authentification à deux facteurs (Google Authenticator)
Important : Les utilisateurs d'iOS 18 ou plus récent et de Mac OS 14 Sonoma ne peuvent pas utiliser le script et doivent le configurer manuellement. Dans cet article, dans la section des paramètres pour iPhone et MacOS, vous trouverez une description plus détaillée des étapes nécessaires.
N'oubliez pas: Pour minimiser les erreurs de configuration et autres problèmes potentiels, nous recommandons d'utiliser un script pour l'installation. Cependant, vous pouvez également installer et configurer manuellement le certificat directement sur votre terminal. Des instructions détaillées pour l'installation manuelle du certificat et la configuration VPN sont disponibles dans la section "Configuration manuelle du certificat".
Utilisation du script VPN sous Windows
Enregistrez l'archive contenant le script sur votre ordinateur, décompressez le dossier, puis exécutez le script avec les droits d'administrateur (il s'agit d'un fichier avec l'extension bat).
Une fois l'installation réussie, allez dans les paramètres VPN sur votre PC. Vous y trouverez la connexion VPN créée. Cliquez sur Connecter. Ensuite, entrez le nom d'utilisateur et le mot de passe.
Utiliser le script VPN sur Android
Pour les utilisateurs d'Android, veuillez installer StrongSwan et suivre cet article :
Utiliser le script VPN sur l'iPhone
Important : Les utilisateurs d'iOS 18 ou plus récent et de Mac OS 14 Sonoma ne peuvent pas utiliser le script et doivent le configurer manuellement. Ceci est dû aux exigences de sécurité accrues d'Apple pour le cryptage VPN IKEv2. Pour résoudre ce problème, vous devez modifier le groupe de clés et la proposition dans les paramètres de la phase 1 et de la phase 2 de la connexion VPN précédemment créée à l'aide de Quick Setup (Wizzard).
Pour ce faire, retournez dans l'interface graphique web de votre pare-feu. Dans le menu de gauche, sélectionnez "Configuration", puis "VPN". Ouvrez les paramètres de configuration de la connexion VPN concernée et ajoutez une proposition avec les paramètres suivants dans Phase 2 Setting :
Proposition
- Encryption: AES256
- Authentification: SHA256.
Ensuite, allez dans l'onglet "Passerelle VPN", où nous devons mettre à jour les paramètres de la phase 1 comme suit :
Proposition
- Encryption: AES256
- Authentification: SHA256
Groupe de clés : DH2 DH14 DH19
Après avoir effectué les changements, n'oubliez pas de les appliquer en cliquant sur le bouton "Appliquer".
L'étape suivante consiste à télécharger le certificat pour notre connexion VPN et à l'installer sur votre appareil.
Comment télécharger un certificat
Naviguez vers Configuration -> Objet -> Certificat, sélectionnez le certificat VPN, et cliquez sur "Télécharger" pour télécharger le certificat.
Vous pouvez maintenant décider d'exporter le certificat avec un mot de passe pour le sécuriser et vous assurer qu'il ne tombera pas entre de mauvaises mains ou le laisser vide pour exporter le certificat sans mot de passe pour l'installer.
Vous pouvez maintenant joindre ce certificat à un e-mail que vous envoyez aux utilisateurs, en expliquant comment l'installer et se connecter au VPN.
iPhone iOS 18 et supérieur : Installation manuelle du certificat et configuration du VPN
Passons maintenant aux réglages sur l'iPhone lui-même. Téléchargez le certificat envoyé par mail, par exemple, sur votre iPhone.
Remarque : ces modifications n'affectent pas les connexions VPN existantes, quelle que soit la manière dont elles ont été établies, soit par "Installation rapide", soit manuellement.
| Envoyez le certificat par courrier, par exemple. Sur votre iPhone, ouvrez le message contenant le certificat et exécutez-le. | ||
Une fois le certificat terminé, un nouveau profil apparaît dans les paramètres de votre appareil. Pour le trouver, allez dans les paramètres de votre iPhone
| Cliquez sur "Profil téléchargé" : | Cliquez sur "Installer" : | Cliquez sur "Installer" : |
| Vous avez maintenant un certificat vérifié : | Allez dans Paramètres -> VPN & Dispositif | Cliquez sur "Ajouter un VPN". |
| Entrez l'adresse IP WAN de votre pare-feu dans les champs "Serveur" et "ID distant", ainsi que le nom d'utilisateur et le mot de passe. | Établissez la connexion et attendez que le statut soit "Connecté", ce qui prend généralement quelques secondes. |
Windows 10 et supérieur : Installation manuelle du certificat et configuration du VPN
| Double-cliquez sur le certificat avec le bouton gauche de la souris et cliquez sur "Ouvrir" dans la nouvelle fenêtre qui s'ouvre. | Cliquez sur le bouton "Installer le certificat". |
Vous pouvez également essayer de double-cliquer sur le certificat et de cliquer sur "Installer le certificat...", puis sur "Suivant".
| Choisissez si le certificat sera disponible pour tous les utilisateurs de l'ordinateur ou seulement pour l'utilisateur actuel. | Cliquez sur "Placer tous les certificats dans le magasin suivant" et choisissez "Autorités de certification racine de confiance" |
| Presque terminé, cliquez sur "Terminer" | Nous prenons ensuite un avertissement et nous avons terminé ! |
Maintenant, configurons le profil VPN lui-même. Pour ce faire sur votre PC, allez dans la section VPN.
| Utilisez la barre de recherche de Windows et recherchez VPN, puis sélectionnez "Paramètres VPN" dans la barre de recherche de Windows : | Dans la nouvelle fenêtre qui s'ouvre, cliquez sur "Ajouter une connexion VPN" |
MAC OS 14 Sonoma et supérieur : Installation manuelle du certificat et configuration du VPN
| Double-cliquez sur le certificat et sélectionnez le "trousseau" "système". | Cliquez sur le symbole WiFi et sur "Paramètres réseau". Cliquez ensuite sur le signe "+" en dessous de vos connexions WiFi. |
Cliquez sur le symbole WiFi et sur "Paramètres du réseau". Cliquez ensuite sur le signe "+" sous vos connexions WiFi et créez un VPN IKEv2 comme indiqué ci-dessous.
Renseignez l'adresse IP / FQDN, l'ID distant, puis cliquez sur les paramètres d'authentification ci-dessous. Choisissez un nom d'utilisateur et entrez votre nom d'utilisateur et votre mot de passe.
Zyxel SecuExtender
SecuExtender adapte le principe de confiance zéro pour aider le service informatique à vérifier l'identité des utilisateurs, en appliquant un contrôle d'admission pour augmenter la sécurité. Une licence est nécessaire pour utiliser SecuExtender. Mais vous pouvez le télécharger gratuitement et tester la version d'essai gratuite en cliquant ici : SecuExtender VPN Client
Cet article se penche sur la configuration de Zyxel SecuExtender en utilisant le client Windows comme exemple. Cependant, la procédure pour macOS est identique à l'exception d'une légère différence dans la conception de l'application.
Ouvrez l'application et cliquez sur "Configuration" dans le coin supérieur gauche. Dans le menu déroulant, vous trouverez deux options : "Obtenir du serveur" et "Assistant".
Les deux options sont très simples. Lorsque vous sélectionnez "Get from Server", vous devez connaître le nom ou l'adresse ainsi que le nom d'utilisateur et le mot de passe de l'utilisateur VPN. Dans le cas de l'assistant, vous pouvez apporter des modifications supplémentaires pendant la configuration.
Le téléchargement du profil VPN a réussi. Allez maintenant dans le menu principal, et vous verrez le nouveau profil VPN dans la liste de gauche. Double-cliquez à gauche et entrez votre nom d'utilisateur et votre mot de passe. C'est fait. La connexion est réussie !
Veuillez noter que la "vérification du certificat" doit être désactivée si vous utilisez une autorité de certification par défaut et auto-signée.