Onglet Configuration générale

Activer le VPN SSL


Active ou désactive le service VPN SSL du firewall SNS.

Paramètres réseaux

Adresse IP (ou FQDN) de l'UTM utilisée

Indiquez l’adresse que les utilisateurs devront utiliser pour joindre le firewall SNS afin d'établir les tunnels VPN SSL.

  • Pour une adresse IP : elle doit être publique, donc accessible sur Internet,

  • Pour un FQDN (exemple : ssl.company.tld) : il doit être déclaré dans les serveurs DNS utilisés par le poste de travail lorsque celui-ci est en dehors du réseau de l’entreprise.
    Si vous disposez d’une adresse IP publique dynamique, vous pouvez recourir aux services d’un fournisseur comme DynDNS ou No-IP. Dans ce cas, paramétrez ce FQDN dans le module DNS dynamique.

Réseaux ou machines accessibles

Sélectionnez l’objet représentant les réseaux ou machines qui seront joignables au travers du tunnel VPN. Cet objet permet de définir automatiquement sur le poste de travail les routes nécessaires pour joindre les ressources accessibles via le VPN.

 

Des règles de filtrage (dans le module Filtrage et NAT) seront nécessaires pour autoriser ou interdire plus finement les flux entre les postes de travail distants et les ressources internes. Il peut également être nécessaire de définir des routes statiques d’accès au réseau attribué aux clients VPN sur les équipements de l’entreprise situés entre le firewall SNS et les ressources internes mises à disposition.

Réseau assigné aux clients (UDP)

 

Réseau assigné aux clients (TCP)

Sélectionnez l’objet correspondant au réseau qui sera assigné aux clients VPN en UDP et en TCP. Vous pouvez assigner un réseau différent, mais le client VPN choisira toujours en premier le réseau UDP pour de meilleures performances.

 

Concernant le choix du réseau ou des sous-réseaux :

  • La taille minimale du masque réseau est de /28,
  • Le réseau dédié aux clients VPN ne doit pas appartenir aux réseaux internes existants ou déclarés par une route statique sur le firewall. L’interface utilisée pour le VPN SSL étant protégée, le firewall détecterait alors une tentative d’usurpation d’adresse IP (spoofing) et bloquerait les flux correspondants,
  • Afin d’éviter des conflits de routage, choisissez des sous-réseaux peu communément utilisés (comme 10.60.77.0/24) car de nombreux réseaux d’accès à Internet filtrés (Wi-Fi public, hôtels) ou réseaux locaux privés utilisent déjà les premières plages d’adresses réservées.
Maximum de tunnels simultanés autorisés

Le nombre s'affiche automatiquement. Il correspond à la valeur minimale entre :

  • Le nombre maximal de tunnels autorisés sur le firewall SNS,
  • Le nombre de sous-réseaux disponibles pour les clients VPN. Cela représente 1/4 des adresses IP, moins 2. Un tunnel VPN SSL consomme en effet 4 IP et le serveur réserve 2 sous-réseaux pour son propre usage.

Paramètres DNS envoyés au client

Nom de domaine Indiquez le nom de domaine attribué aux clients VPN SSL pour leur permettre d'effectuer leurs résolutions de noms d’hôtes.

Serveur DNS primaire

Serveur DNS secondaire

Sélectionnez l’objet représentant le serveur DNS à attribuer.

Configuration avancée

Adresse IP de l'UTM pour le VPN SSL (UDP)

Dans l'un des cas suivants, vous devez sélectionner l’objet représentant l'adresse IP à utiliser pour établir les tunnels VPN SSL en UDP :

  • L'adresse IP utilisée pour établir les tunnels VPN SSL (UDP) n'est pas l'adresse IP principale de l'interface externe,

  • L'adresse IP utilisée pour établir les tunnels VPN SSL (UDP) est portée par une interface externe qui n'est pas en lien avec la passerelle par défaut du firewall.

Port (UDP)

 

Port (TCP)

Vous pouvez modifier les ports d’écoute du service VPN SSL. À noter que :

  • Certains ports sont réservés à un usage interne du firewall SNS et ne peuvent pas être sélectionnés,
  • Le port 443 est le seul port inférieur à 1024 qui peut être utilisé,
  • Si vous modifiez les ports par défaut, le VPN SSL pourrait ne plus être accessible depuis un réseau avec filtrage d’accès à Internet (hôtels, Wi-Fi public).
Délai avant renégociation des clés (en secondes)

Vous pouvez modifier le délai (par défaut 14400 secondes, soit 4 heures) au terme duquel les clés utilisées par les algorithmes de chiffrement sont renégociées. Pendant cette opération :

  • Le tunnel VPN SSL ne répondra pas pendant quelques secondes,
  • Si une authentification multifacteur est utilisée, l'utilisateur devra renseigner un nouveau code OTP ou approuver la nouvelle connexion sur son application tierce (Mode Push) afin de rester connecté. Il peut être intéressant d'augmenter le délai pour l'aligner sur la durée moyenne d'une journée travaillée, par exemple à 28800 secondes (8 heures).
Utiliser les serveurs DNS fournis par le firewall

Vous pouvez indiquer aux clients VPN d'inscrire dans la configuration réseau du poste de travail (Windows uniquement) les serveurs DNS récupérés via le VPN SSL. Ceux déjà définis sur le poste de travail pourront être interrogés.

Interdire l'utilisation de serveurs DNS tiers Vous pouvez indiquer aux clients VPN d'exclure les serveurs DNS déjà définis dans la configuration du poste de travail (Windows uniquement). Seuls ceux envoyés par le firewall SNS pourront être interrogés.

Scripts à exécuter sur le client

Sous Windows, le client VPN SSL Stormshield peut exécuter des scripts .bat à l'ouverture et à la fermeture d'un tunnel VPN SSL. Vous pouvez utiliser dans ces scripts :

  • Les variables d’environnement Windows (%USERDOMAIN%, %SystemRoot%, ...),

  • Les variables liées au client VPN SSL Stormshield : %NS_USERNAME% (nom d’utilisateur servant à l’authentification) et %NS_ADDRESS% (adresse IP attribuée au client VPN SSL).

Script à exécuter lors de la connexion

Sélectionnez le script à exécuter à l'ouverture du tunnel VPN. Exemple de script permettant de connecter le lecteur réseau Z: à un partage :

NET USE Z: \\myserver\myshare

Script à exécuter lors de la déconnexion

Sélectionnez le script à exécuter à la fermeture du tunnel VPN. Exemple de script permettant de déconnecter le lecteur réseau Z: d'un partage :

NET USE Z: /delete

Certificats

Sélectionnez les certificats que le service VPN SSL du firewall SNS et le client VPN SSL Stormshield doivent présenter pour établir un tunnel. Ils doivent être issus de la même autorité de certification. Par défaut, l'autorité de certification dédiée au VPN SSL ainsi qu’un certificat serveur et un certificat client créés à l’initialisation du firewall sont proposés.

Certificat serveur

Sélectionnez le certificat souhaité. L'icône indique les certificats dont la clé privée est protégée par le TPM. Pour plus d'informations sur le TPM, reportez-vous à la section Trusted Platform Module.

Certificat client Sélectionnez le certificat souhaité. Vous ne pouvez pas choisir un certificat dont la clé privée est protégée par le TPM car la clé privée de ce certificat doit être disponible en clair (non chiffrée) dans la configuration VPN distribuée aux clients VPN.

Configuration

Exporter le fichier de configuration Cliquez sur ce bouton pour exporter la configuration VPN SSL au format .ovpn.