La grille

Ligne Cette colonne indique le numéro de la ligne (1,2,3…) traitée par ordre d’apparition à l’écran
État Cette colonne affiche l’état / du tunnel.
Lorsque vous créez un tunnel, celui-ci s’active par défaut : cliquez deux fois dessus pour le désactiver.
Nom Il vous est possible d'attribuer un nom à cette règle IPsec afin de faciliter la recherche des événements propres à cette règle dans les logs.  
Réseau local Choisissez votre machine, groupes de machines, plage d’adresses, réseau ou groupe de réseaux qui sera accessible via le tunnel VPN IPsec, au sein de la liste déroulante d’objets.
Correspondant Configuration de correspondant, visible au sein de l’onglet du même nom dans le module VPN IPsec.
Réseau distant Choisissez parmi la liste déroulant d’objets, votre machine, groupes de machines, plage d’adresses, réseau ou groupe de réseaux accessibles via le tunnel IPsec avec le correspondant.

NOTE
Lorsque vous créez une nouvelle politique VPN IPsec nomade via l’assistant, il vous est demandé de fournir le réseau local, et non le réseau distant, puisque l’adresse IP n’est pas connue. L’objet « Any » sera donc choisi par défaut.

Nom de domaine Cette option permet de préciser le domaine (annuaire LDAP) sur lequel le correspondant nomade doit être authentifié. Un même utilisateur peut ainsi établir simultanément plusieurs tunnels VPN IPsec et accéder à des ressources distinctes en s'authentifiant sur des annuaires différents.  
Groupe Cette option permet de préciser le groupe de l'utilisateur au sein du domaine d'authentification.
Un même utilisateur peut alors établir simultanément plusieurs tunnels VPN IPsec en s'authentifiant sur un ou plusieurs domaines, et accéder à des ressources distinctes en se voyant attribuer les droits propres au groupe précisé.
Cette option nécessite de préciser le Nom de domaine.
 
Protocole

Cette option permet de limiter l'établissement du tunnel IPsec aux flux basés sur un protocole particulier :

  • TCP
  • UDP
  • ICMP
  • GRE
  • Tous
 
Profil de chiffrement Cette option permet de choisir le modèle de protection associé à votre politique VPN, parmi les 3 profils pré-configurés : StrongEncryption, GoodEncryption et Mobile. Il est également de créer et de modifier d’autres profils au sein de l’onglet Profils de chiffrement.
Mode Config Cette colonne rend possible l’activation du « Mode Config », désactivé par défaut. Ce mode permet de distribuer l’adresse IP d’extrémité de trafic au correspondant.
NOTES
  1. Si vous choisissez d’activer ce mode, vous devrez sélectionner un objet autre qu’« Any » en tant que réseau distant.
  2. Avec le mode config, une seule politique peut être appliquée par profil.

Le bouton Éditer le mode Config permet de renseigner les paramètres du Mode Config IPsec, qui sont les suivants :
  • Serveur DNS utilisé : ce champ détermine la machine (serveur DNS) qui sera utilisée par les clients mobiles, pour réaliser les résolutions DNS. Vous pouvez la sélectionner ou la créer dans la base d'objets. Par défaut, ce champ est vide.
  • Domaines utilisés en Mode config : le client utilisera le serveur DNS sélectionné précédemment, uniquement pour les domaines spécifiés dans cette grille. Pour les autres domaines, le client continuera à utiliser son / ses serveur(s) DNS système. Il s'agira donc généralement de noms de domaines internes.

EXEMPLE
Dans le cas du choix du domaine  "compagnie.com", un iPhone par exemple, en joignant "www.compagnie.com" ou "intranet.compagnie.com" utilisera le serveur DNS spécifié plus haut. Cependant, s’il tente de joindre de joindre "www.google.fr", il continuera à utiliser ses anciens serveurs DNS.

Commentaire Description associée à la politique VPN.
Keepalive

L’option supplémentaire Keepalive permet de maintenir les tunnels montés de façon artificielle. Cette mécanique envoie des paquets initialisant et forçant le maintien du tunnel. Cette option est désactivée par défaut pour éviter une charge inutile, dans le cas de configuration contenant de nombreux tunnels, montés en même temps sans réel besoin.


Pour activer cette option, affectez une valeur différente de 0, correspondant à l’intervalle en seconde, entre chaque envoi de paquet UDP.

 

NOTE
Vous ne pourrez utiliser et créer qu’une seule configuration nomade (« roadwarrior ») par profil IPsec. Les correspondants sont applicables à tous les profils. Par conséquent, un seul type d'authentification peut être utilisé à la fois pour la configuration nomade.

Vérification en temps réel de la politique

L’écran d’édition des règles de politique IPsec dispose d’un champ de « Vérification de la politique » (situé en dessous de la grille), qui prévient l’administrateur en cas d’incohérence ou d’erreur sur une des règles créées.