Les informations des correspondants de type « nomade » / « correspondant mobile »
Sélectionnez un correspondant dans la liste pour en afficher les informations.
Commentaire | Description associée au correspondant distant. |
Passerelle distante | Ce champ est grisé pour les correspondants de type nomade. |
Configuration de secours | Ce champ est grisé pour les correspondants de type nomade. |
Profil IKE | Cette option permet de choisir le modèle de protection associé à votre politique VPN, parmi les 3 profils préconfigurés: StrongEncryption, GoodEncryption, et Mobile. Il est possible de créer ou de modifier d’autres profils au sein de l’onglet Profils de chiffrement. |
Version d’IKE | Cette option permet de choisir la version du protocole IKE (IKEv1 ou IKEv2) utilisée par le correspondant. |
Identification
Méthode d’authentification | Ce champ affichera la méthode d’authentification choisie lors de la création de votre correspondant via l’assistant. Vous pouvez modifier votre choix en sélectionnant une autre méthode d’authentification présente dans la liste déroulante. NOTE |
Certificat | Si vous avez choisi la méthode d’authentification par Certificat, Hybride ou Certificat et XAuth, ce champ affichera votre certificat ou vous proposera de le sélectionner au sein de la liste déroulante. Si vous avez opté pour la clé pré partagée, ce champ sera grisé. |
Local ID (Optionnel) | Ce champ représente une extrémité du tunnel VPN IPSec, partageant le « secret » ou la PSK avec le « Peer ID », autre extrémité. Le « Local ID » vous représente. Cet identifiant doit avoir la forme d’une adresse IP, d’un nom de domaine (FQDN ou Full Qualified Domain Name) ou d’une adresse e-mail (user@fqdn). NOTE |
Cliquer ici pour éditer la liste des PSK | En cliquant sur ce lien, vous basculerez dans l’onglet Identification du module VPN IPSec. Vous pourrez y ajouter vos Autorités de certification acceptées ainsi que vos Tunnels nomades : clés pré partagées. |
Configuration avancée
Mode de négociation | En IPSec, 2 modes de négociation sont possibles : le mode principal (ou « main » mode) et le mode agressif. Ils influent notamment sur la « phase 1 » du protocole IKE (phase « d’authentification »).
NOTE AVERTISSEMENT NOTE |
Mode de secours | Le mode de secours est le mode de bascule pour le failover IPSec, si un serveur n'est plus accessible, un autre prend le relai, de manière transparente. Néanmoins, ici, le champ est grisé car la configuration de secours n’est pas applicable pour une configuration nomade. NOTE |
Adresse locale | Objet sélectionné comme étant l'adresse IP locale utilisée pour les négociations IPSec avec ce correspondant. Ce champ est en « Any » par défaut. |
Ne pas initier le tunnel (Responder-only) : | Cette case est grisée et validée, car il est impossible d’initier un tunnel vers un client mobile dont l’adresse IP est inconnue. Dans cette configuration, le firewall est donc en mode de réponse uniquement. |
DPD | Ce champ permet de configurer la fonctionnalité VPN dite de DPD (Dead Peer Detection). Celle-ci permet de vérifier qu’un correspondant est toujours opérationnel. Quand le DPD est activé sur un correspondant, des requêtes de test de disponibilité (R U there) sont envoyées à l’autre correspondant. Ce dernier devra acquitter la requête pour valider sa disponibilité (R U there ACK). Ces échanges sont sécurisés via les SA (Security Association) ISAKMP (Internet Security Association and Key Management Protocol). Si on détecte qu’un correspondant ne répond plus, les SA négociées avec celui-ci sont détruites. AVERTISSEMENT Pour configurer l’option de DPD, quatre choix sont disponibles :
La valeur delay définit le temps après une réponse avant l’envoi de la prochaine demande. La valeur retry, définit le temps d’attente d’une réponse avant la réémission de la demande. La valeur maxfail, c'est le nombre de demandes sans réponses avant de considérer le correspondant comme absent. |
DSCP | Ce champ permet de préciser la valeur du champ DSCP affecté aux paquets réseau IKE émis à destination de ce correspondant. Sélectionnez l'une des valeurs proposées ou précisez un champ DSCP personnalisé (entier compris entre 0 et 63). |