Configurer le service VPN SSL

Cette section explique comment activer et configurer le service VPN SSL du firewall SNS.

Rendez-vous dans le module Configuration > VPN > VPN SSL. Des différences existent entre les versions SNS. Une mention précise ces différences lorsque cela est pertinent. Vous pouvez cliquer sur Appliquer à tout moment pour sauvegarder vos modifications.

Activer le service VPN SSL

Champ Description

Activer le VPN SSL


Positionnez le sélecteur sur ON pour activer le service VPN SSL.
Écran de configuration du service VPN SSL sur un firewall SNS en version 5

Configurer les paramètres généraux du service VPN SSL

Sur les versions SNS 4.8 LTSB et 5, cette configuration s'effectue dans l'onglet Paramètres généraux. Sur les versions SNS 4.3 LTSB, il n'existe pas d'onglet.

NOTE
Depuis la version SNS 4.8.5, un avertissement vous invite à désactiver la fonctionnalité de compression LZ4 si elle est activée. Ce cas est décrit dans la section Résoudre les problèmes.

Champ Description

Activer la vérification des postes clients (ZTNA)


Sur les versions SNS 5, positionnez le sélecteur sur ON pour activer la vérification de la conformité des postes clients. Sur les versions SNS 4.8 LTSB, l'activation s'effectue dans l'onglet Vérification des postes clients (ZTNA). Cette fonctionnalité n'est pas disponible sur les versions SNS 4.3 LTSB.

Lorsque la vérification des postes clients est activée :

  • Les clients VPN SSL compatibles avec cette fonctionnalité (voir Configurer la vérification des postes clients (ZTNA)) peuvent établir des tunnels VPN SSL avec le firewall SNS seulement si tous les critères de la politique sont respectés,

  • Les clients VPN SSL non compatibles avec cette fonctionnalité ne peuvent pas établir de tunnels VPN SSL avec le firewall SNS, sauf s'ils y sont explicitement autorisés en activant le paramètre Clients VPN SSL non compatibles avec ZTNA.

Zone Paramètres réseaux

Champ Description
Adresse IP publique (ou FQDN) de l'UTM utilisée

Indiquez l’adresse que les utilisateurs doivent utiliser dans leur client VPN SSL pour joindre le firewall SNS et établir des tunnels VPN SSL. Vous pouvez indiquer un FQDN ou une adresse IP.

  • Pour un FQDN : il doit être déclaré dans les serveurs DNS utilisés par l'appareil de l'utilisateur. Si vous disposez d’une adresse IP publique dynamique, vous pouvez recourir aux services d’un fournisseur comme DynDNS ou No-IP. Paramétrez ensuite ce FQDN dans le module Configuration > Réseau > DNS dynamique.

  • Pour une adresse IP : elle doit être publique, donc accessible sur Internet.
Réseaux ou machines accessibles

Sélectionnez l’objet représentant les réseaux ou machines qui seront joignables au travers du tunnel VPN SSL. Cet objet permet de définir automatiquement sur les appareils de votre organisation les routes nécessaires pour joindre les ressources accessibles via le tunnel VPN SSL.

Pour autoriser ou interdire plus finement les flux entre les appareils de vos utilisateurs et les ressources internes, vous devez créer des règles de filtrage (voir Configurer la politique de filtrage et de NAT).

Si des appareils de votre organisation sont situés entre le firewall SNS et les ressources internes mises à disposition, vous pouvez définir sur ces appareils des routes statiques d’accès au réseau attribué aux clients VPN SSL.

Réseau assigné aux clients (UDP)

 

Réseau assigné aux clients (TCP)

Sélectionnez l’objet correspondant aux réseaux UDP et TCP assignés aux clients VPN SSL. Choisissez le réseau ou sous-réseaux en fonction des critères suivants :

  • La taille minimale du masque réseau est de /28.
  • Si vous assignez deux réseaux, le client VPN SSL utilise toujours en premier le tunnel VPN SSL basé sur le protocole UDP pour de meilleures performances. Cet ordre est défini dans la configuration VPN SSL (OpenVPN) fourni par le firewall SNS aux clients VPN SSL.
  • Le réseau assigné ne doit pas appartenir aux réseaux internes existants ou déclarés par une route statique sur le firewall SNS. L’interface utilisée pour le VPN SSL étant protégée, le firewall SNS détecterait alors une tentative d’usurpation d’adresse IP (spoofing) et bloquerait les flux correspondants.
  • Pour éviter des conflits de routage, choisissez des sous-réseaux peu communément utilisés, comme 10.60.77.0/24, car de nombreux réseaux d’accès à Internet filtrés (Wi-Fi public, hôtels) ou réseaux locaux privés utilisent déjà les premières plages d’adresses réservées.
Maximum de tunnels simultanés autorisés

Le nombre s'affiche automatiquement. Il correspond à la valeur minimale, soit du nombre de tunnels autorisés sur le firewall SNS (voir Prérequis), soit du nombre de sous-réseaux disponibles pour les clients VPN SSL. Pour ce dernier :

  • Sur les versions SNS 5 : cela présente le nombre total d'adresses IP, moins 3.
  • Sur les versions SNS 4.3 LTSB et 4.8 LTSB : cela représente 1/4 des adresses IP, moins 2. Un tunnel VPN SSL consomme 4 IP et le serveur réserve 2 sous-réseaux pour son propre usage.

Zone Paramètres DNS envoyés au client

Champs Description
Nom de domaine Indiquez le nom de domaine attribué aux clients VPN SSL pour leur permettre d'effectuer leurs résolutions de noms d’hôtes.

Serveur DNS primaire

 

Serveur DNS secondaire

Sélectionnez l’objet représentant le serveur DNS à attribuer.

Zone Configuration avancée

Champ Description
Activer l'accélération noyau DCO

Sur les versions SNS 5 en configuration d'usine, la fonctionnalité d'accélération noyau DCO (Data Channel Offload) est activée par défaut. Cochez ou décochez la case pour activer ou désactiver cette fonctionnalité. Sur les versions SNS 4, cette fonctionnalité n'est pas disponible.

Cette fonctionnalité permet d'améliorer les performances des tunnels VPN SSL basés sur le protocole UDP. Elle n'est pas compatible avec les tunnels VPN SSL basés sur le protocole TCP.

Le client VPN SSL utilisé doit être compatible avec la fonctionnalité DCO pour bénéficier des améliorations. Concernant le client VPN SSL Stormshield :

  • La version Windows bénéficie des améliorations.
  • La version Linux bénéficie des améliorations seulement si OpenVPN est en version 2.6.0 ou supérieure et que le paquet openvpn-dco est installé.
  • La version macOS ne bénéficie pas des améliorations.

NOTE
Lorsque vous activez la fonctionnalité DCO, un message peut s'afficher vous invitant à modifier la suite de chiffrement si celle utilisée est incompatible. Acceptez la modification pour activer la fonctionnalité.
Adresse IP publique de l'UTM pour le VPN SSL (UDP)

Dans les cas suivants, vous devez sélectionner l’objet représentant l'adresse IP à joindre pour établir des tunnels VPN SSL en UDP :

  • L'adresse IP à joindre n'est pas l'adresse IP principale de l'interface externe,

  • L'adresse IP à joindre est portée par une interface externe qui n'est pas en lien avec la passerelle par défaut du firewall SNS.
Port (UDP)

 

Port (TCP)

Vous pouvez modifier les ports d’écoute du service VPN SSL. À noter que :

  • Certains ports sont réservés à un usage interne du firewall SNS et ne peuvent pas être sélectionnés,
  • Le port 443 est le seul port inférieur à 1024 qui peut être utilisé,
  • Si vous modifiez les ports par défaut, le VPN SSL pourrait ne plus être accessible depuis un réseau avec filtrage d’accès à Internet (hôtels, Wi-Fi public).
Délai avant renégociation des clés (secondes)

Vous pouvez modifier le délai au terme duquel les clés utilisées par les algorithmes de chiffrement sont renégociées. Par défaut, ce délai est de 14400 secondes, soit 4 heures.

Pendant cette opération :

  • Le tunnel VPN SSL ne répondra pas pendant quelques secondes.
  • Si une authentification multifacteur est utilisée, l'utilisateur devra renseigner un nouveau code OTP ou approuver la nouvelle connexion sur son application tierce afin de rester connecté. Pour ce cas d'utilisation, il est recommandé d'augmenter le délai avant renégociation des clés pour l'aligner sur la durée moyenne d'une journée travaillée, par exemple à 28800 secondes, soit 8 heures.
Utiliser les serveurs DNS fournis par le firewall

Vous pouvez indiquer aux clients VPN SSL d'inscrire dans la configuration réseau du poste de travail (Windows uniquement) les serveurs DNS récupérés via le VPN SSL. Ceux déjà définis sur le poste de travail pourront être interrogés.
Interdire l'utilisation de serveurs DNS tiers

Vous pouvez indiquer aux clients VPN SSL d'exclure les serveurs DNS déjà définis dans la configuration du poste de travail (Windows uniquement). Seuls ceux envoyés par le firewall SNS pourront être interrogés.

Scripts à exécuter sur le client

Le client VPN SSL Stormshield sous Windows peut exécuter des scripts .bat à l'ouverture et à la fermeture d'un tunnel VPN SSL. Vous pouvez utiliser dans ces scripts :

  • Les variables d’environnement Windows (%USERDOMAIN%, %SystemRoot%, ...),

  • Les variables liées au client VPN SSL Stormshield : %NS_USERNAME% (nom d’utilisateur servant à l’authentification) et %NS_ADDRESS% (adresse IP attribuée au client VPN SSL).

Champ Description
Script à exécuter lors de la connexion

Sélectionnez le script à exécuter à l'ouverture du tunnel VPN SSL. Exemple de script permettant de connecter le lecteur réseau Z: à un partage :

NET USE Z: \\myserver\myshare
Script à exécuter lors de la déconnexion

Sélectionnez le script à exécuter à la fermeture du tunnel VPN SSL. Exemple de script permettant de déconnecter le lecteur réseau Z: d'un partage :

NET USE Z: /delete

Le client VPN SSL Stormshield sous Linux et macOS peut également exécuter des scripts à l'ouverture et à la fermeture d'un tunnel VPN SSL. Ces scripts sont généralement utilisés pour prendre en compte la configuration DNS lorsqu'OpenVPN ne la gère pas nativement. Pour plus d'informations sur l'utilisation de ces scripts, reportez-vous au Guide d'installation du client VPN SSL Stormshield v5.

Certificats

Sélectionnez les certificats que le service VPN SSL du firewall SNS et les clients VPN SSL doivent présenter pour établir des tunnels VPN SSL. Ces certificats doivent être issus de la même autorité de certification.

Par défaut, un certificat serveur et un certificat client, issus de la même autorité de certification dédiée au VPN SSL, sont proposés. Ces certificats et l'autorité de certification ont été créés à l’initialisation du firewall SNS.

Champ Description
Certificat serveur

Sélectionnez le certificat souhaité.

L'icône indique les certificats dont la clé privée est protégée par le module TPM. Pour plus d'informations sur cette protection, reportez-vous à la note technique Configurer le module TPM et protéger les clés privées de certificats du firewall SNS.
Certificat client

Sélectionnez le certificat souhaité.

Vous ne pouvez pas choisir un certificat dont la clé privée est protégée par le module TPM car la clé privée de ce certificat doit être disponible en clair (non chiffrée) dans la configuration VPN SSL distribuée aux clients VPN SSL.

Configuration

Champ Description
Exporter le fichier de configuration

Cliquez sur ce bouton pour exporter la configuration VPN SSL au format OVPN. Vous pouvez ensuite importer ce fichier dans les clients VPN SSL de votre organisation afin d'y ajouter une nouvelle connexion.

Concernant le client VPN SSL Stormshield, cette configuration est récupérée automatiquement pour les connexions établies en Mode Stormshield. Pour les connexions de type OpenVPN (import de fichier OVPN), le fichier doit être importé pour établir ou enregistrer la connexion. Pour plus d'informations, reportez-vous au Guide de configuration et d'utilisation du client VPN SSL Stormshield v5.