VPN IPsec mobile IKEv1 - Authentification par clé pré-partagée
Ce document décrit la configuration VPN nécessaire pour autoriser un utilisateur distant (appelé également mobile ou nomade) à accéder de manière sécurisée au réseau interne de son entreprise, depuis un poste de travail Microsoft équipé du logiciel SN VPN Client Standard.
La méthode d’authentification présentée dans ce tutoriel est basée sur l’utilisation d’une clé pré-partagée propre à chaque utilisateur.
Les tunnels IPsec décrits dans cette note technique sont basés sur la version 1 du protocole IKE.
Deux types de configurations sont ainsi abordés :
- Utilisation du mode Config qui permet de fournir automatiquement aux clients tous les paramètres réseau nécessaires pour établir le tunnel VPN IPsec. Bien que plus simple au premier abord, ce mode présente une limitation importante : il ne permet de définir qu'un seul réseau protégé par le firewall pouvant être joint par les utilisateurs nomades. Il n'est donc pas possible de sélectionner un groupe de réseaux ou plusieurs réseaux.
- Attribution manuelle d'adresses IP à chaque utilisateur et paramétrage manuel du client VPN. Contrairement au mode Config, cette configuration permet de définir plusieurs réseaux protégés par le firewall et pouvant être joints par les utilisateurs nomades.
Prérequis
- Un annuaire LDAP doit être configuré sur le firewall.
Si ce n'est pas le cas, veuillez vous référer à la section Configuration des annuaires du Manuel Utilisateur SNS. - Une adresse e-mail doit être définie pour chaque utilisateur présent dans l'annuaire LDAP.
- Le poste client Microsoft doit être équipé du logiciel SNS VPN Client, disponible dans la section Téléchargements > Stormshield Network Security > VPN Client de votre espace Mystormshield (logiciel soumis à l'acquisition d'une licence et disposant d'une période d'évaluation de 30 jours) ou du client VPN IPsec TheGreenBow.
- La politique IPsec utilisée doit contenir exclusivement des correspondants IPsec IKEv1 (tunnels site à site et tunnels nomades).