Onglet Configuration générale

Activer le VPN SSL


Active ou désactive le service VPN SSL du firewall SNS.

Paramètres réseaux

Adresse IP (ou FQDN) de l'UTM utilisée

Indiquez l’adresse que les utilisateurs devront utiliser pour joindre le firewall SNS afin d'établir les tunnels VPN SSL.

  • Si vous renseignez une adresse IP, elle doit être publique, donc accessible sur Internet,

  • Si vous renseignez un FQDN (exemple : ssl.company.tld), il doit être déclaré dans les serveurs DNS utilisés par le terminal client lorsque celui-ci est en dehors du réseau de l’entreprise. Si vous disposez d’une adresse IP publique dynamique, vous pouvez recourir aux services d’un fournisseur comme DynDNS ou No-IP. Dans ce cas, paramétrez ce FQDN dans le module DNS dynamique.

Réseaux ou machines accessibles

Sélectionnez l’objet représentant les réseaux ou machines qui seront joignables au travers du tunnel VPN. Cet objet permet de définir automatiquement sur le terminal client les routes nécessaires pour joindre les ressources accessibles via le VPN.

Des règles de filtrage (dans le module Filtrage et NAT) seront nécessaires pour autoriser ou interdire plus finement les flux entre les clients distants et les ressources internes. Il peut également être nécessaire de définir des routes statiques d’accès au réseau attribué aux clients VPN sur les équipements de l’entreprise situés entre le firewall SNS et les ressources internes mises à disposition.

Réseau assigné aux clients (UDP)

 

Réseau assigné aux clients (TCP)

Sélectionnez l’objet correspondant au réseau qui sera assigné aux clients VPN en UDP et en TCP. Vous pouvez assigner un réseau différent, mais le client VPN choisira toujours en premier le réseau UDP pour de meilleures performances.

La taille minimale du masque réseau est de /28.

 

Le réseau dédié aux clients VPN ne doit pas appartenir aux réseaux internes existants ou déclarés par une route statique sur le firewall. L’interface utilisée pour le VPN SSL étant protégée, le firewall détecterait alors une tentative d’usurpation d’adresse IP (spoofing) et bloquerait les flux correspondants.

De plus, afin d’éviter des conflits de routage sur les terminaux clients, choisissez des sous-réseaux peu communément utilisés (comme 10.60.77.0/24) car de nombreux réseaux d’accès à Internet filtrés (Wi-Fi public, hôtels) ou réseaux locaux privés utilisent déjà les premières plages d’adresses réservées.

Maximum de tunnels simultanés autorisés

Le nombre s'affiche automatiquement. Il correspond à la valeur minimale entre le nombre de sous-réseaux disponibles pour les clients VPN et le nombre maximal de tunnels autorisés sur le firewall SNS.

Le nombre de sous-réseaux disponibles représente 1/4 des adresses IP, moins 2. Un tunnel VPN SSL consomme 4 IP, mais le serveur réserve 2 sous-réseaux pour son propre usage.

Paramètres DNS envoyés au client

Nom de domaine Indiquez le nom de domaine attribué aux clients VPN SSL pour leur permettre d'effectuer leurs résolutions de noms d’hôtes.
Serveur DNS primaire Sélectionnez l’objet représentant le serveur DNS à attribuer.
Serveur DNS secondaire Sélectionnez l’objet représentant le serveur DNS à attribuer.

Configuration avancée

Adresse IP de l'UTM pour le VPN SSL (UDP)

Par défaut, le service VPN SSL écoute sur toutes les adresses IP du firewall SNS. Vous pouvez sélectionner l’objet représentant l'adresse IP utilisée pour établir les tunnels VPN SSL (UDP) notamment dans les cas suivants :

  • L'adresse IP utilisée pour établir les tunnels VPN SSL (UDP) n'est pas l'adresse IP principale de l'interface externe,

  • L'adresse IP utilisée pour établir les tunnels VPN SSL (UDP) est portée par une interface externe qui n'est pas en lien avec la passerelle par défaut du firewall.

Port (UDP)

 

Port (TCP)

Vous pouvez modifier les ports d’écoute du service VPN SSL en UDP et TCP. Certains ports sont réservés à un usage interne du firewall SNS et ne peuvent pas être sélectionnés. Si vous modifiez les ports par défaut, le VPN SSL pourrait ne plus être accessible depuis un réseau avec filtrage d’accès à Internet (hôtels, Wi-Fi public).

Le port 443 est le seul port inférieur à 1024 qui peut être utilisé.

Délai avant renégociation des clés (en secondes) Vous pouvez modifier le délai au terme duquel les clés utilisées par les algorithmes de chiffrement sont renégociées. La valeur par défaut est de 4 heures (14400 secondes). Cette opération est transparente pour l'utilisateur : le tunnel actif n’est pas interrompu lors de la renégociation.
Utiliser les serveurs DNS fournis par le firewall En cochant cette case, le client VPN SSL inscrit dans la configuration réseau du poste de travail (Windows uniquement) les serveurs DNS récupérés via le VPN SSL. Ceux déjà définis sur le poste de travail pourront être interrogés.
Interdire l'utilisation de serveurs DNS tiers En cochant cette case, les serveurs DNS déjà définis dans la configuration du poste de travail (Windows uniquement) sont exclus par le client VPN SSL. Seuls ceux envoyés par le firewall SNS pourront être interrogés.

Scripts à exécuter sur le client

Sur des postes de travail Windows, SN SSL VPN Client peut exécuter des scripts .bat à l'ouverture et à la fermeture d'un tunnel VPN SSL. Vous pouvez utiliser dans ces scripts :

  • Les variables d’environnement Windows (%USERDOMAIN%, %SystemRoot%, ...),

  • Les variables liées au VPN SSL : %NS_USERNAME% (nom d’utilisateur servant à l’authentification) et %NS_ADDRESS% (adresse IP attribuée au client VPN SSL).

Script à exécuter lors de la connexion

Sélectionnez un script que le client VPN exécutera à l'ouverture du tunnel VPN. Exemple de script permettant de connecter le lecteur réseau Z: à un partage :

NET USE Z: \\myserver\myshare

Script à exécuter lors de la déconnexion

Sélectionnez un script que le client VPN exécutera à la fermeture du tunnel VPN. Exemple de script permettant de déconnecter le lecteur réseau Z: d'un partage :

NET USE Z: /delete

Certificats

Sélectionnez les certificats que le service VPN SSL du firewall SNS et le client VPN SSL doivent présenter pour établir un tunnel. Ils doivent être issus de la même autorité de certification. Par défaut, l'autorité de certification dédiée au VPN SSL ainsi qu’un certificat serveur et un certificat client créés à l’initialisation du firewall sont proposés.

Certificat serveur

Sélectionnez le certificat souhaité. L'icône indique les certificats dont la clé privée est protégée par le TPM.

Pour plus d'informations sur le TPM, reportez-vous à la section Trusted Platform Module.

Certificat client Sélectionnez le certificat souhaité. Vous ne pouvez pas choisir un certificat dont la clé privée est protégée par le TPM car la clé privée de ce certificat doit être disponible en clair (non chiffrée) dans la configuration VPN distribuée aux clients VPN.

Configuration

Exporter le fichier de configuration Cliquez sur ce bouton pour exporter la configuration VPN SSL au format .ovpn.