Installation et configuration du client VPN SSL

Stormshield Network SSL VPN Client sous Windows

Remarques avant installation

SN VPN SSL Client ne peut être utilisé que sous un seul profil utilisateur Windows. Il doit donc être impérativement installé sous le profil Windows de l’utilisateur final du logiciel.

D’autre part, cette installation requiert une élévation de privilèges. Si l’utilisateur ne possède pas les droits d’administration sur le poste de travail, il devra fournir, au cours de l’installation, le nom et le mot de passe d’un compte ayant les droits d’administration.

Installation

Téléchargez le logiciel Stormshield Network SSL VPN Client depuis le portail d’authentification du Firewall (ou depuis votre espace privé sur le site web).

Description : C:\Users\frederic.monjean\MyCloud\Modifications\TNO\VPN SSL Full\Images-EN\Portail-AuthPicture - Copie.png

 

Faites un double clic sur l’exécutable enregistré sur votre poste de travail (il est nécessaire d’être administrateur local de son poste de travail ou de fournir le mot de passe d’un compte administrateur). Suivez les différentes fenêtres proposées par l’assistant d’installation; seuls le chemin d’installation et un groupe de programme à associer sont à personnaliser si vous le souhaitez.

Le téléchargement et l’intégration des fichiers de configuration sont réalisés automatiquement lors de l’utilisation de Stormshield Network SSL VPN Client. Après authentification et validation du droit à l’utilisation du VPN SSL, le client récupère en effet l’ensemble des données nécessaires pour se configurer.

Déploiement via une GPO

Dans un environnement Microsoft Active Directory, Stormshield Network SSL VPN Client peut être déployé de façon automatique par le biais d’une stratégie de groupe (GPO : Global Policy Object). L’installation peut ainsi être réalisée de manière silencieuse (invisible pour l’utilisateur), avec les droits d’administration nécessaires, et ce à l'occasion du passage d'un client nomade sur le réseau de l’entreprise.

Pour préparer ce type de déploiement, il est nécessaire de convertir l’exécutable d’installation du Stormshield Network SSL VPN Client en fichier Microsoft System Installer (extension « .msi »). Notez que l’exécutable d’origine dispose de l’option « /S » pour une installation silencieuse.

Dans le cadre d’une GPO, vous pouvez également renseigner la clé de registre HKEY_CURRENT_USER\Software\STORMSHIELD\SSL VPN Client\address du poste client avec l’adresse IP ou le FQDN du Firewall. Dès sa première utilisation, Stormshield Network SSL VPN Client lit alors cette clé et renseigne automatiquement le champ Firewall Address.

Utilisation du carnet d’adresses

Ouverture

 

 

Pour ouvrir le carnet d’adresses, faites un clic droit sur l’icône de SN SSL VPN Client située dans la barre des tâches de la machine Windows et sélectionnez le menu Ouvrir le carnet d’adresses.

 

Vous avez la possibilité d’y mémoriser les informations de connexion sur vos différents firewalls via VPN SSL. Ces informations sont stockées sur le poste client où est installé le client. Elles peuvent être chiffrées si vous cochez l'option Le carnet d’adresses est chiffré. Dans ce cas, une clé de chiffrement vous est demandée. Les informations mémorisées pour chaque entrée du carnet d’adresses sont le nom du profil de connexion créé, l'adresse IP du firewall, le login et le mot de passe de connexion ainsi qu’une description optionnelle.

IMPORTANT

Si vous modifiez l'option Le carnet d’adresses est chiffré, il faut enregistrer à nouveau le carnet pour prendre en compte les modifications.

 

Cochez l’option Afficher les mots de passe pour vérifier les mots de passe utilisés pour chacun des firewalls enregistrés dans le carnet d’adresses (les mots de passe sont affichés en clair).

Les boutons Import et Export permettent également d’importer un carnet d’adresses existant ou d’exporter le carnet courant.

Ajout / modification d’un profil de connexion

 

 

Pour ajouter un profil de connexion au carnet, cliquez sur Ajouter, renseignez les différents champs de la fenêtre et validez en cliquant sur OK.

 
       
 

 

Lorsque le port d’écoute du serveur VPN SSL est différent du port par défaut (TCP/443), renseignez le champ Adresse à l’aide de l’adresse IP du firewall et du port d’écoute, séparés par deux points (« : »).

 

Vous pouvez à tout moment modifier un profil en le sélectionnant puis en cliquant sur le bouton Modifier:

Client tiers compatible OpenVPN sous Windows

Téléchargez un logiciel client compatible OpenVPN.

Lorsque l’installation du logiciel client est terminée, connectez-vous au portail d’authentification du Firewall (https://adresse_firewall/auth) à l'aide d'un navigateur Web.

Une fois authentifié, téléchargez l’archive de configuration du client en cliquant sur le lien « Profil VPN SSL pour clients OpenVPN » situé dans le menu Données personnelles.

Description : C:\Users\frederic.monjean\MyCloud\Modifications\TNO\VPN SSL Full\Images-EN\Portail-AuthPicture - Copie (4).png

 

Décompressez cette archive dans le répertoire de configuration du client VPN SSL.

NOTE

Cette opération n’est à réaliser qu’à la première connexion ou lorsque des paramètres du service VPN SSL ont été modifiés (changement de certificats ou d’adresse IP du Firewall par exemple).

Client OpenVPN Connect sous Android

Installez sur votre terminal l’application OpenVPN Connect disponible sur la boutique en ligne Google Play.

La spécificité d’un client OpenVPN Connect réside dans le fait que toutes les informations (configuration, CA, certificat et clé privée) doivent obligatoirement être rassemblées en un seul et même fichier portant l’extension « .ovpn ».

Depuis votre terminal, connectez-vous au portail d’authentification du Firewall (https://adresse_firewall/auth) à l’aide d’un navigateur web.

Une fois authentifié, téléchargez le fichier de configuration (extension « .ovpn ») du client en cliquant sur le lien « Profil VPN SSL pour clients mobiles OpenVPN Connect » situé dans le menu Données personnelles:

Description : C:\Users\frederic.monjean\MyCloud\Modifications\TNO\VPN SSL Full\Images-EN\Portail-AuthPicture - Copie (3).png

 

Votre terminal détecte automatiquement ce fichier et vous propose de l’importer dans le client VPN SSL.

NOTE

Cette opération n’est à réaliser qu’à la première connexion ou lorsque des paramètres du service VPN SSL ont été modifiés (changement de certificats ou d’adresse IP du Firewall par exemple).

 

Si vous utilisez la version 1.1.17 (build 76) du client OpenVPN Connect pour Android, cochez la case Force AES-CBC ciphersuite accessible dans le menu Préférences :

Client OpenVPN Connect sous IOS

Installez sur votre terminal l’application OpenVPN Connect disponible sur la boutique en ligne App Store.

Pour la récupération et l’intégration des données de connexion, la procédure est décrite dans le paragraphe Client OpenVPN Connect sous Android de la section Installation et configuration du client VPN SSL.

Si vous utilisez la version 1.0.7 build 199 (iOD 64-bit) du client OpenVPN Connect pour IOS, cochez la case Force AES-CBC ciphersuite accessible dans le menu Paramètres :