Configurer le client VPN

Sur le poste de travail Microsoft Windows de l'utilisateur, lancez la fenêtre des connexions du client VPN Exclusive en utilisant les droits Administrateur :

  1. Faites un clic droit sur l'icône présente dans la barre des tâches Windows (icônes cachées) :
  2. Sélectionnez le menu Panneau de configuration.

Configurer la phase 1

  1. Dans l'arborescence Configuration VPN, faites un clic droit sur IKEv2.
  2. Sélectionnez Nouvel IKE auth.
    Une entrée nommée par défaut Ikev2Gateway est ajoutée à l'arborescence IKEv2.
  3. Faites un clic droit sur Ikev2Gateway et choisissez Renommer pour donner le nom souhaité à cette entrée (IKEv2GwEAPCERT dans cet exemple).
  4. Cliquez sur cette entrée.
  5. Dans l'onglet Authentification > Adresse routeur distant > champ Adresse routeur distant, indiquez l'adresse IP (adresse IP publique) ou le FQDN du firewall avec lequel le client VPN doit établir un tunnel.
    Si vous utilisez un FQDN, assurez-vous que celui-ci soit résolu par les serveurs DNS du poste de travail avant l'établissement du tunnel.
  6. Dans l'onglet Authentification > Intégrité, cochez les cases :
    • EAP,
    • EAP popup,
    • Multiple AUTH support.
  7. Cliquez sur Importer un certificat et cochez Format P12.
  8. Sélectionnez le Certificat P12 de l'utilisateur déposé préalablement sur le poste de l'utilisateur.
  9. Entrez le mot de passe de protection du P12 défini lors de l'export de l'identité utilisateur sur le firewall et validez en cliquant sur OK.

  10. Dans l'onglet Protocole > Fonctions avancées, cochez la case Fragmentation et indiquez la taille des fragments IKE tels que définis au niveau du firewall (1280 octets selon les recommandations de Stormshield).

  11. Cliquez sur le menu supérieur Configuration > Sauver pour enregistrer cette configuration.

Configurer la phase 2

  1. Dans l'arborescence Configuration VPN > IKEv2, faites un clic droit sur la phase 1 précédemment créée (IKEv2GwEAPCERT dans l'exemple).
  2. Sélectionnez Nouveau Child SA.
    Une entrée nommée par défaut Ikev2Tunnel est ajoutée sous la phase 1 sélectionnée.
  3. Faites un clic droit sur Ikev2Tunnel et choisissez Renommer pour donner le nom souhait à cette entrée.
  4. Dans l'onglet Child SA > Trafic sélecteurs,
  5. Cochez la case Obtenir la configuration depuis la passerelle.
  6. Cliquez sur le menu supérieur Configuration > Sauver pour enregistrer cette configuration.

Le client VPN est configuré pour établir avec le firewall un tunnel IKEv2 en mode Config basé sur EAP et Certificat.