Créer un tunnel compatible avec le mode DR sur SN VPN Client Exclusive

IMPORTANT
Pour pouvoir configurer SN VPN Client Exclusive, vous devez le lancer avec les privilèges d'un administrateur du poste client (clic droit sur l'icône Stormshield VPN Client Exclusive > Exécuter en tant qu'administrateur).

Lancer et activer SN VPN Client Exclusive

  1. Sur le bureau Windows du poste client, lancez Stormshield VPN Client Exclusive.
  2. Au premier lancement, saisissez le numéro de licence de Stormshield VPN Client Exclusive pour l'utilisateur concerné.

Autoriser l'affichage des paramètres supplémentaires

  1. Cliquez sur Outils > Options du menu général.
  2. Dans l'onglet Général : cochez la case Afficher plus de paramètres et validez en cliquant sur OK.

Créer une nouvelle passerelle

Dans la colonne de gauche de Stormshield VPN Client Exclusive :

  1. Faites un clic droit sur IKEv2 et sélectionnez Nouvel IKE auth.
    Une passerelle, nommée par défaut Ikev2Gateway, est créée.
  2. Vous pouvez la renommer en effectuant un clic droit sur cette passerelle et en sélectionnant Renommer.

Adapter les paramètres de la passerelle pour les rendre compatibles avec le mode DR

Sélectionnez la passerelle créée précédemment.

Onglet Authentification

  1. Dans le champ Adresse routeur distant, saisissez l'adresse IP ou le FQDN du firewall avec lequel établir le tunnel compatible avec le mode DR.
  2. Dans le cadre Authentification sélectionnez Certificat.
    Vous basculez automatiquement dans l'onglet Certificat.
  3. Cliquez sur le bouton Importer un Certificat...
  4. Sélectionnez Format P12 et cliquez sur Suivant.
  5. Choisissez l'identité du client mobile précédemment exportée au format P12 sur le firewall concerné.
  6. Saisissez le mot de passe protégeant cette identité.
  7. Validez en cliquant sur OK.
  8. Cliquez de nouveau sur l'onglet Authentification.
  9. Dans le cadre Cryptographie, sélectionnez les valeurs correspondant aux valeurs sélectionnées sur le firewall concerné pour le profil de chiffrement DR :
    • Chiffrement : AES GCM 256 ou AES CTR 256,
    • Intégrité : SHA2 256,
    • Groupe de clé : DH28 (BrainpoolP 256r1) ou DH19 (ECP 256).

Onglet Protocole

  1. Dans le cadre Identité, pour le champ Remote ID : sélectionnez DER ASN1 DN et indiquez le sujet du certificat de la passerelle en version SNS 4.3 Transition DR (C = FR, ST = Nord, L = Lille, O = Stormshield, OU = Doc, CN = DR-Compliant.stormshield.eu dans cet exemple).
  2. Dans le cadre Fonctions avancées :
    1. Positionnez le Port IKE à 4500,
    2. Cochez la case Initiation Childless.

Onglet Passerelle

Vous pouvez laisser les paramètres par défaut.

NOTE
Pour le paramètre durée de vie, il peut être intéressant de positionner une valeur inférieure à celle configurée sur la passerelle (firewall en mode DR) afin que les renégociations soient à l'initiative de SN VPN Client Exclusive.

Onglet Plus de paramètres

  1. S'il est présent, supprimez le paramètre "Method14_RSASSA_PKCS1".
  2. Ajoutez les paramètres personnalisés avec les valeurs suivantes :

Nom Valeur
nonce_size 16
NoNATTNegotiation true
sha2_in_cert_req true
allow_server_and_client_auth true
allow_server_extra_keyusage true

Sauvegarder la configuration

Cliquez sur Configuration > Sauver du menu général de SN VPN Client Exclusive pour valider et sauvegarder cette configuration.

Créer le tunnel vers la passerelle compatible avec le mode DR

  1. Faites un clic droit sur la passerelle précédemment créée (FW_DR dans cet exemple) et sélectionnez Nouveau Child SA.
    Un tunnel, nommé par défaut Ikev2Tunnel, est créé.
  2. Vous pouvez le renommer en effectuant un clic droit sur ce tunnel et en sélectionnant Renommer.
    Le nom choisi dans cet exemple est Tunnel_DR.

Adapter les paramètres du tunnel pour le rendre compatible avec le mode DR

Sélectionnez le tunnel créé précédemment.

Onglet Child SA

  1. Cochez la case Obtenir la configuration depuis la passerelle.
  2. Dans le cadre Cryptographie :
    • Pour le champ Chiffrement, sélectionnez la même valeur que celle paramétrée pour la passerelle précédemment créée (FW_DR dans cet exemple) : AES GCM 256 ou AES CTR 256.
    • Pour le champ Intégrité, sélectionnez auto.
    • Pour le champ Diffie Hellman, sélectionnez la même valeur que celle paramétrée pour la passerelle précédemment créée (FW_DR dans cet exemple) : DH28 (BrainpoolP 256r1) ou DH19 (ECP 256).
    • Pour le champ Numéro de séquence étendu, sélectionnez auto.
  3. Dans le cadre Durée de vie, pour le champ Durée de vie Child SA, sélectionnez 1800 (secondes).

Sauvegarder la configuration

Cliquez sur Configuration > Sauver du menu général de SN VPN Client Exclusive pour valider et sauvegarder cette configuration.