Activer et paramétrer le service VPN SSL

Pour activer le service VPN SSL sur le firewall SNS :

  1. Rendez-vous dans Configuration > VPN > VPN SSL.

  2. Positionnez le curseur d'état sur ON.

Plusieurs zones sont disponibles pour paramétrer le service VPN SSL du firewall SNS.

Zone Paramètres réseaux

  1. Dans le champ Adresse IP (ou FQDN) de l'UTM utilisée, indiquez l’adresse que les utilisateurs devront utiliser pour joindre le firewall SNS afin d'établir les tunnels VPN SSL.

    • Si vous renseignez une adresse IP, elle doit être publique, donc accessible sur Internet,

    • Si vous renseignez un FQDN (exemple : ssl.company.tld), il doit être déclaré dans les serveurs DNS utilisés par le terminal client lorsque celui-ci est en dehors du réseau de l’entreprise. Si vous disposez d’une adresse IP publique dynamique, vous pouvez recourir aux services d’un fournisseur comme DynDNS ou No-IP. Dans ce cas, paramétrez ce FQDN sur le firewall SNS dans Configuration > Réseau > DNS dynamique.

  2. Dans le champ Réseaux ou machines accessibles, sélectionnez l’objet représentant les réseaux ou machines qui seront joignables au travers du tunnel VPN SSL. Cet objet permet de définir automatiquement sur le terminal client les routes nécessaires pour joindre les ressources accessibles via le VPN.

    Des règles de filtrage seront nécessaires pour autoriser ou interdire plus finement les flux entre les clients distants et les ressources internes. Il peut également être nécessaire de définir des routes statiques d’accès au réseau attribué aux clients VPN sur les équipements de l’entreprise situés entre le firewall SNS et les ressources internes mises à disposition.

  3. Dans les champs Réseau assigné aux clients (UDP) et Réseau assigné aux clients (TCP), sélectionnez l’objet correspondant au réseau qui sera assigné aux clients VPN. La taille minimale du masque réseau est de /29 pour les versions SNS 3.x ou 4.2 et inférieures, et de /28 pour les versions SNS 4.3 et supérieures.

    Vous pouvez assigner un réseau différent aux clients VPN en UDP et en TCP. Le client VPN choisira toujours en premier le réseau UDP pour de meilleures performances.

    Concernant le choix du réseau ou des sous-réseaux :

    • Choisissez un réseau dédié aux clients VPN SSL et n’appartenant pas aux réseaux internes existants ou déclarés par une route statique sur le firewall SNS. L’interface utilisée pour le VPN SSL étant protégée, le firewall SNS détecterait alors une tentative d’usurpation d’adresse IP (spoofing) et bloquerait les flux correspondants,
    • Choisissez des sous-réseaux peu communément utilisés (comme 10.60.77.0/24) afin d’éviter des conflits de routage sur les terminaux clients lors de la connexion au VPN SSL. De nombreux réseaux d’accès à Internet filtrés (Wi-Fi public, hôtels) ou réseaux locaux privés utilisent déjà les premières plages d’adresses réservées.
  4. Le nombre maximal de tunnels simultanés autorisés s'affiche automatiquement. Il correspond à la valeur minimale entre le nombre maximal de tunnels autorisés sur le firewall SNS (voir Fonctionnement et limitations) et le nombre de sous-réseaux disponibles pour les clients VPN. Pour ce dernier, cela représente pour les versions SNS :

    • 3.x ou 4.2 et inférieures le quart du nombre d’adresses IP, moins 1. Un tunnel VPN SSL consomme 4 IP, mais le serveur réserve 1 sous-réseau pour son propre usage.

    • 4.3 et supérieures le quart du nombre d’adresses IP, moins 2. Un tunnel VPN SSL consomme 4 IP, mais le serveur réserve 2 sous-réseaux pour son propre usage.

Zone Paramètres DNS envoyés au client

  1. Dans le champ Nom de domaine, indiquez le nom de domaine attribué aux clients VPN SSL pour leur permettre d'effectuer leurs résolutions de noms d’hôtes.
  2. Dans les champs Serveur DNS primaire et Serveur DNS secondaire, sélectionnez l’objet représentant le serveur DNS à attribuer.

Zone Configuration avancée

  1. Dans le champ Adresse IP de l'UTM pour le VPN SSL (UDP), notamment dans l'un des cas suivants :

    • L'adresse IP utilisée pour établir les tunnels VPN SSL (UDP) n'est pas l'adresse IP principale de l'interface externe,

    • L'adresse IP utilisée pour établir les tunnels VPN SSL (UDP) est portée par une interface externe qui n'est pas en lien avec la passerelle par défaut du firewall.

    Sélectionnez l’objet représentant l'adresse IP utilisée pour établir les tunnels VPN SSL (UDP). Par défaut, le service VPN SSL écoute sur toutes les adresses IP du firewall SNS.

  2. Dans les champs Port (UDP) et Port (TCP), vous pouvez modifier les ports d’écoute du service VPN SSL. Certains ports sont réservés à un usage interne du firewall SNS et ne peuvent pas être sélectionnés. Si vous modifiez les ports par défaut, le VPN SSL pourrait ne plus être accessible depuis un réseau avec filtrage d’accès à Internet (hôtels, Wi-Fi public). Pour les versions 4.3 et supérieures, le port 443 est le seul port inférieur à 1024 qui peut être utilisé.

  3. Dans le champ Délai avant renégociation des clés (secondes), vous pouvez modifier le délai au terme duquel les clés utilisées par les algorithmes de chiffrement sont renégociées. La valeur par défaut est de 4 heures (14400 secondes). Cette opération est transparente pour l'utilisateur : le tunnel actif n’est pas interrompu lors de la renégociation.
  4. Lorsque Utiliser les serveurs DNS fournis par le firewall est coché, le client VPN SSL inscrit dans la configuration réseau du poste de travail (Windows uniquement) les serveurs DNS récupérés via le VPN SSL. Ceux déjà définis sur le poste de travail pourront être interrogés.
  5. Lorsque Interdire l'utilisation de serveurs DNS tiers est coché, les serveurs DNS déjà définis dans la configuration du poste de travail (Windows uniquement) sont exclus par le client VPN SSL. Seuls ceux envoyés par le firewall SNS pourront être interrogés.

Scripts à exécuter sur le client

Sur des postes de travail Windows, SN SSL VPN Client peut exécuter des scripts .bat à l'ouverture et à la fermeture d'un tunnel VPN SSL. Vous pouvez utiliser dans ces scripts :

  • Les variables d’environnement Windows (%USERDOMAIN%, %SystemRoot%, ...),

  • Les variables liées au VPN SSL : %NS_USERNAME% (nom d’utilisateur servant à l’authentification) et %NS_ADDRESS% (adresse IP attribuée au client VPN SSL).

Exemple de script pour connecter le lecteur réseau Z: au partage \\myserver\myshare :

NET USE Z: \\myserver\myshare

Exemple de script pour déconnecter le lecteur réseau Z: du partage \\myserver\myshare :

NET USE Z: /delete

Certificats utilisés

Sélectionnez les certificats que le service VPN SSL du firewall SNS et le client VPN SSL doivent présenter pour établir un tunnel. Par défaut, l'autorité de certification dédiée au VPN SSL ainsi qu’un certificat serveur et un certificat client créés à l’initialisation du firewall sont proposés.

Si vous choisissez d'utiliser votre propre autorité de certification, vous devez créer une identité client et une identité serveur. S’il ne s’agit pas d’une autorité racine, les deux certificats correspondants doivent être issus de la même sous-autorité.

Pour les firewalls équipés d'un module TPM et en version SNS 4.7 et supérieure :

  • Vous pouvez choisir un certificat serveur dont la clé privée est protégée par le TPM. L'icône indique les certificats dont la clé privée est protégée par le TPM,
  • Vous ne pouvez pas choisir un certificat client dont la clé privée est protégée par le TPM car la clé privée de ce certificat doit être disponible en clair (non chiffrée) dans la configuration VPN distribuée aux clients VPN.

Pour plus d'informations sur la protection par le TPM des clés privées de certificats du firewall jusqu'à la configuration de ces certificats dans les modules du firewall, reportez-vous à la note technique Configurer le module TPM et protéger les clés privées de certificats du firewall SNS.

Configuration

Le bouton Exporter le fichier de configuration exporte la configuration VPN SSL au format .ovpn.