Utilisateurs mobiles (nomades)

Le VPN IPsec comporte deux extrémités : l’extrémité de tunnel, et l’extrémité de trafic. Pour les anonymes ou utilisateurs nomades, l’adresse IP d’extrémité de tunnel n’est pas connue à l’avance.

L’adresse IP d’extrémité de trafic, quant à elle, peut être soit choisie par le correspondant (cas « classique »), ou distribuée par la passerelle (« Mode Config »).

Il est possible de construire une politique IPsec nomade contenant plusieurs correspondants dès lors qu'ils utilisent le même profil de chiffrement IKE. En cas d'authentification par certificats, les certificats des différents correspondants doivent être issus d'une même CA.

Ajouter

Sélectionnez la politique VPN dans laquelle vous désirez réaliser le tunnel. Des assistants de création de politique vous aiguillent dans cette configuration. Si vous souhaitez créer le correspondant nomade par l’assistant, reportez-vous à la section « Création de correspondant nomade » ci-dessous.

Pour les utilisateurs nomades, il est possible de définir des paramètres clients VPN (Mode Config) par l’assistant de création de politique Mode Config.

Nouvelle politique mobile simple

Cette politique rend accessible via un tunnel IPsec, les réseaux locaux aux utilisateurs autorisés. Dans cette configuration, les utilisateurs distants se connectent avec leur propre adresse IP.

Renseignez le correspondant nomade à utiliser. Puis, ajoutez dans la liste, les ressources locales accessibles.

Nouvelle politique Mode Config

Cette politique avec Mode Config rend accessible via un tunnel IPsec, un unique réseau local aux utilisateurs autorisés. Avec Mode Config, les utilisateurs distants se connectent avec une adresse IP attribuée dans un ensemble défini en tant que "Réseau nomade".

Une fois créée, la cellule correspondant à la colonne Mode Config propose un bouton Éditer le mode Config (sélection), vous permettant de renseigner les paramètres du Mode Config IPsec, décrits dans la section « La grille ».

Vous pouvez renseigner un serveur DNS particulier et spécifier les domaines d'utilisation de ce serveur. Ces indications sont par exemple, indispensables en cas d’utilisation d’un client mobile Apple® (iPhone, iPad). Cette fonctionnalité est couplée au mode Config, et n’est pas utilisée par tous les clients VPN du marché.

Création de correspondant nomade

La procédure à suivre pour créer un correspondant par ces assistants, est décrite ci-dessous. Vous pouvez également le créer directement depuis l'onglet Correspondant.

  1. Cliquez sur le bouton « Ajouter » une « Nouvelle Politique » VPN, puis sur « Créer un correspondant mobile » via l’assistant de politique VPN IPsec nomade.
  2. Donnez un Nom à votre configuration nomade.
  3. Choisissez la Version (du protocole) IKE utilisée par le correspondant.
  4. Cliquez sur Suivant.
  5. Choisissez la méthode d’authentification du correspondant.
Certificat Si vous optez pour cette méthode d’authentification, vous devrez ensuite choisir votre Certificat (serveur) à présenter au correspondant, parmi la liste de ceux que vous avez créé au préalable (Module Certificats et PKI).
Vous pourrez également fournir l’« Autorité de confiance » (CA) ayant signé le certificat de votre correspondant afin qu'elle soit automatiquement ajoutée à la liste des autorités de confiance.
Hybride Si vous optez pour la méthode hybride, vous devrez également fournir un « Certificat » (serveur) à présenter au correspondant et éventuellement, sa CA.
L’authentification du serveur est faite par certificat durant la phase 1, et celle du client le sera par XAuth juste après cette phase 1.
Certificat et XAuth (iPhone) Cette option permet aux utilisateurs mobiles (roadwarriors) de se connecter sur la passerelle VPN de votre entreprise via leur téléphone portable, à l’aide d’un certificat durant la phase 1. Le serveur est également authentifié par certificat pendant cette phase 1. Une authentification supplémentaire du client est effectuée par XAuth après la phase 1.

NOTE
C’est le seul mode compatible avec l’iPhone.
Clé pré-partagées Si vous optez pour cette méthode d’authentification, vous devrez éditer votre clé dans un tableau, en fournissant son ID, et sa valeur à confirmer. Pour cela, cliquez sur Ajouter.

L’ID peut-être au format IP (X.Y.Z.W), FQDN (monserveur.domain.com), ou e-mail (prenom.nom@domain.com). Il occupera ensuite la colonne « Identité » du tableau et la PSK occupera une colonne du même nom avec sa valeur affichée en hexadécimal.

NOTE
Pour définir une clé pré-partagée au format ASCII suffisamment sécurisée, il est  indispensable de suivre les mêmes règles qu’un mot de passe utilisateur décrites dans la section Bienvenue, partie Sensibilisation des utilisateurs, paragraphe Gestion des mots de passe de l’utilisateur.
  1. Cliquez sur Suivant.
  2. Vérifiez l’écran de résumé de votre configuration nomade et cliquez sur Terminer.
  3. Renseignez ensuite la ressource locale, ou « réseau local » auquel l’utilisateur nomade aura accès.

Vous pouvez également effectuer d’autres actions :

Rechercher La recherche s’effectuera sur le nom de l’objet et de ses différentes propriétés, sauf si vous avez spécifié dans les préférences de l’application de restreindre cette recherche aux noms d’objet.
Supprimer Sélectionnez le tunnel VPN IPsec à retirer de la grille et cliquez sur ce bouton.
Monter Placer la ligne sélectionnée avant celle du dessus.
Descendre Placer la ligne sélectionnée après celle du dessous.
Couper Couper la ligne dans le but de la coller.
Copier Copier la ligne dans le but de la dupliquer.
Coller Dupliquer la ligne après l’avoir copiée.
Afficher les détails Pour faciliter la configuration du tunnel avec un équipement distant (passerelle ou client mobile), un clic sur cette icône affiche les différentes informations de la politique IPsec :
  • Résumé : type de règle, version IKE, correspondant, passerelle distante, extrémités de trafic (réseau local, réseau distant).
  • Authentification : Mode / Type (Certificat / Clé pré-partagée).
  • Profils de chiffrement (phase 1 & 2) : algorithmes, groupe Diffie-Hellman, durée de vie.
Chercher dans les logs Lorsque un nom a été attribué à la règle IPsec, un clic sur ce bouton lance la recherche du nom de la règle dans le log VPN IPsec et affiche le résultat.
Chercher dans la supervision Un clic sur ce bouton ouvre directement l'écran de supervision des tunnels IPsec (onglet Monitoring > module Supervision > Tunnels VPN IPsec).

REMARQUE
Un clic droit depuis n'importe quelle zone de la grille affiche un menu contextuel proposant les actions suivantes :

  • Ajouter,
  • Copier,
  • Couper,
  • Coller,
  • Afficher les détails,
  • Supprimer,
  • Chercher dans les logs,
  • Chercher dans la supervision.