Utilisateurs mobiles (nomades)

Le VPN IPsec comporte deux extrémités : l’extrémité de tunnel, et l’extrémité de trafic. Pour les anonymes ou utilisateurs nomades, l’adresse IP d’extrémité de tunnel n’est pas connue à l’avance.

L’adresse IP d’extrémité de trafic, quant à elle, peut être soit choisie par le correspondant (cas « classique »), ou distribuée par la passerelle (« Mode Config »).

Il est possible de construire une politique IPsec nomade contenant plusieurs correspondants dès lors qu'ils utilisent le même profil de chiffrement IKE. En cas d'authentification par certificats, les certificats des différents correspondants doivent être issus d'une même CA.

Ajouter

Sélectionnez la politique VPN dans laquelle vous désirez réaliser le tunnel. Des assistants de création de politique vous aiguillent dans cette configuration. Si vous souhaitez créer le correspondant nomade par l’assistant, reportez-vous à la section « Création de correspondant nomade » ci-dessous.

Pour les utilisateurs nomades, il est possible de définir des paramètres clients VPN (Mode Config) par l’assistant de création de politique Mode Config.

Nouvelle politique mobile simple

Cette politique rend accessible via un tunnel IPsec, les réseaux locaux aux utilisateurs autorisés. Dans cette configuration, les utilisateurs distants se connectent avec leur propre adresse IP.

Renseignez le correspondant nomade à utiliser. Puis, ajoutez dans la liste, les ressources locales accessibles.

Nouvelle politique Mode Config

Cette politique avec Mode Config rend accessible via un tunnel IPsec, un unique réseau local aux utilisateurs autorisés. Avec Mode Config, les utilisateurs distants se connectent avec une adresse IP attribuée dans un ensemble défini en tant que "Réseau nomade".

Une fois créée, la cellule correspondant à la colonne Mode Config propose un bouton Éditer le mode Config (sélection), vous permettant de renseigner les paramètres du Mode Config IPsec, décrits dans la section « La grille ».

Vous pouvez renseigner un serveur DNS particulier et spécifier les domaines d'utilisation de ce serveur. Ces indications sont par exemple, indispensables en cas d’utilisation d’un client mobile Apple® (iPhone, iPad). Cette fonctionnalité est couplée au mode Config, et n’est pas utilisée par tous les clients VPN du marché.

Création de correspondant nomade

La procédure à suivre pour créer un correspondant par ces assistants, est décrite ci-dessous. Vous pouvez également le créer directement depuis l'onglet Correspondant.

  1. Cliquez sur le bouton « Ajouter » une « Nouvelle Politique » VPN, puis sur « Créer un correspondant mobile » via l’assistant de politique VPN IPsec nomade.
  2. Donnez un Nom à votre configuration nomade.
  3. Choisissez la Version (du protocole) IKE utilisée par le correspondant.
  4. Cliquez sur Suivant.
  5. Choisissez la méthode d’authentification du correspondant.
Certificat Si vous optez pour cette méthode d’authentification, vous devrez ensuite choisir votre Certificat (serveur) à présenter au correspondant, parmi la liste de ceux que vous avez créés au préalable (Module Certificats et PKI).
Vous pourrez également fournir l’« Autorité de confiance » (CA) ayant signé le certificat de votre correspondant afin qu'elle soit automatiquement ajoutée à la liste des autorités de confiance.
Clé pré-partagées Si vous optez pour cette méthode d’authentification, vous devrez éditer votre clé dans un tableau, en fournissant son ID, et sa valeur à confirmer. Pour cela, cliquez sur Ajouter.

L’ID peut-être au format IP (X.Y.Z.W), FQDN (monserveur.domain.com), ou e-mail (prenom.nom@domain.com). Il occupera ensuite la colonne « Identité » du tableau et la PSK occupera une colonne du même nom avec sa valeur affichée en hexadécimal.

NOTE
Pour définir une clé pré-partagée au format ASCII suffisamment sécurisée, il est  indispensable de suivre les mêmes règles qu’un mot de passe utilisateur décrites dans la section Bienvenue, partie Sensibilisation des utilisateurs, paragraphe Gestion des mots de passe de l’utilisateur.

EAP-Generic Token Card (GTC) La méthode EAP-GTC (Extensible Authentication Protocol - Generic Token Card) est décrite dans la RFC 3748. Elle n'est disponible que pour les correspondants mobiles en version IKEv2.
Elle est destinée à être utilisée avec les cartes supportant les vérifications de type challenge / response.
Si vous optez pour cette méthode d’authentification, vous devrez ensuite choisir le Certificat (serveur) que le firewall doit présenter au correspondant pour s'authentifier.
Vous pourrez également fournir l’« Autorité de confiance » (CA) ayant signé le certificat de votre correspondant afin qu'elle soit automatiquement ajoutée à la liste des autorités de confiance.
La grille Groupes vous permet d'ajouter directement des groupes d'utilisateurs à rattacher à ce profil de correspondant. Ces groupes peuvent être issus de l'annuaire LDAP par défaut ou d'un autre annuaire (domaine).
Certificat et EAP-Generic Token Card (GTC)

La méthode EAP-GTC (Extensible Authentication Protocol - Generic Token Card) est décrite dans la RFC 3748. Elle n'est disponible que pour les correspondants mobiles en version IKEv2.
Elle est destinée à être utilisée avec les cartes supportant les vérifications de type challenge / response.

Si vous optez pour cette méthode d’authentification, vous devrez ensuite choisir le Certificat (serveur) vous devrez ensuite choisir le Certificat (serveur) que le firewall doit présenter au correspondant pour s'authentifier.
Vous pourrez également fournir l’« Autorité de confiance » (CA) ayant signé le certificat de votre correspondant afin qu'elle soit automatiquement ajoutée à la liste des autorités de confiance.
La grille Groupes vous permet d'ajouter directement des groupes d'utilisateurs à rattacher à ce profil de correspondant. Ces groupes peuvent être issus de l'annuaire LDAP par défaut ou d'un autre annuaire (domaine).

  1. Cliquez sur Suivant.
  2. Vérifiez l’écran de résumé de votre configuration nomade et cliquez sur Terminer.
  3. Renseignez ensuite la ressource locale, ou « réseau local » auquel l’utilisateur nomade aura accès.

Vous pouvez également effectuer d’autres actions :

Rechercher La recherche s’effectuera sur le nom de l’objet et de ses différentes propriétés, sauf si vous avez spécifié dans les préférences de l’application de restreindre cette recherche aux noms d’objet.
Supprimer Sélectionnez le tunnel VPN IPsec à retirer de la grille et cliquez sur ce bouton.
Monter Placer la ligne sélectionnée avant celle du dessus.
Descendre Placer la ligne sélectionnée après celle du dessous.
Couper Couper la ligne dans le but de la coller.
Copier Copier la ligne dans le but de la dupliquer.
Coller Dupliquer la ligne après l’avoir copiée.
Afficher les détails Pour faciliter la configuration du tunnel avec un équipement distant (passerelle ou client mobile), un clic sur cette icône affiche les différentes informations d'une règle sélectionnée dans la politique IPsec :
  • Résumé :
    • Type de règle : Correspondants mobiles,
    • Version IKE,
    • Correspondant,
    • Passerelle distante : Any dans le cas d'un correspondant mobile,
    • Réseau local,
    • Réseau distant.
  • Authentification :
    • Mode : Auto,
    • Type : Certificat, Clé pré-partagée (PSK), EAP-Generic Token Card (GTC) ou Certificat et EAP-Generic Token Crd (GTC).
  • Profils IKE (phase 1) :
    • DH par défaut,
    • Durée de vie,
    • Propositions.
  • Profil IPsec (phase2) :
    • Durée de vie,
    • Authentification,
    • Chiffrement,
    • PFS.

Chercher dans les logs Lorsque un nom a été attribué à la règle IPsec, un clic sur ce bouton lance la recherche du nom de la règle dans le log VPN IPsec et affiche le résultat.
Chercher dans la supervision Un clic sur ce bouton ouvre directement l'écran de supervision des tunnels IPsec (onglet Monitoring > module Supervision > Tunnels VPN IPsec).

REMARQUE
Un clic droit depuis n'importe quelle zone de la grille affiche un menu contextuel proposant les actions suivantes :

  • Ajouter,
  • Copier,
  • Couper,
  • Coller,
  • Afficher les détails,
  • Supprimer,
  • Chercher dans les logs,
  • Chercher dans la supervision.