Configurer un tunnel VPN

Nom de l’interface réseau sur laquelle la connexion VPN est ouverte.

Il est possible de laisser au logiciel le soin de déterminer cette interface, en sélectionnant Automatique.

Privilégier ce choix lorsque le tunnel en cours de configuration est destiné à être déployé sur un autre poste par exemple.

NOTE
Lorsque l’interface réseau possède plusieurs adresses IP, vous pouvez spécifier l’adresse à l’aide du paramètre dynamique local_subnet (voir section Général, paragraphe Afficher plus de paramètres).
Seules les adresses IPv4 sont prises en charge. Le format de l’adresse à renseigner comme valeur du paramètre dynamique est le suivant : aaa.bbb.ccc.ddd/xx. Si le masque de sous-réseau est omis en ne renseignant que aaa.bbb.ccc.ddd, l’adresse correspondra à aaa.bbb.ccc.ddd/32.

Mot de passe ou clé partagée par la passerelle distante.

NOTE
La clé partagée (preshared key) est un moyen simple de configurer un tunnel VPN. Il apporte toutefois moins de souplesse dans la gestion de la sécurité que l’utilisation de certificats.
Voir le chapitre Recommandations de sécurité.

Utilisation d’un certificat pour l’authentification de la connexion VPN.

NOTE

L’utilisation de l'option Certificat apporte une plus grande sécurité dans la gestion des connexions VPN (authentification mutuelle, vérification des durées de vie, révocation, etc.).

Voir le chapitre Recommandations de sécurité.

Voir le chapitre dédié : Gestion des certificats.

Le mode EAP (Extensible Authentication Protocol) permet d’authentifier l’utilisateur grâce à un couple login/mot de passe. Quand le mode EAP est sélectionné, une fenêtre demande à l’utilisateur de saisir son login/mot de passe à chaque ouverture du tunnel.

Lorsque le mode EAP est sélectionné, il est possible de choisir entre le fait que le login/mot de passe EAP soient demandés à chaque ouverture de tunnel (via la case EAP popup), ou qu’ils soient mémorisés dans la configuration VPN en les configurant dans les champs Login et Mot de passe.

Ce dernier mode n’est pas recommandé (cf. chapitre Recommandations de sécurité).

Algorithme de chiffrement négocié au cours de la phase d’authentification :

Auto, AES CBC (128, 192, 256), AES CTR (128, 192, 256), AES GCM (128, 192, 256).

Algorithme d’intégrité négocié au cours de la phase d’authentification :

Auto, SHA2 256, SHA2 384, SHA2 512.

Le « Local ID » est l’identifiant de la phase d’authentification que le Client VPN envoie à la passerelle VPN distante.

Suivant le type sélectionné, cet identifiant peut être :

• Adresse IPv4 : une adresse IPv4 (type = IPV4 ADDR), p. ex. 195.100.205.101

• DNS : un nom de domaine (type = FQDN), p. ex. gw.mondomaine.net

• KEY ID : une chaîne de caractères (type = KEY ID), p. ex. 123456

• Adresse IPv6 : une adresse IPv6 (type = IPV6 ADDR), p. ex. 2345:0:9d38:6ab8:1c47:3a1c:a96a:b1c3

• Email : une adresse email (type = USER FQDN),

• DER ASN1 DN : le sujet X.509 d’un certificat (type = DER ASN1 DN) ; ce champ est automatiquement renseigné avec le sujet d’un certificat X.509 lorsque le tunnel est associé à un certificat utilisateur (cf. chapitre Gestion des certificats)

Quand ce paramètre n’est pas renseigné, c’est l’adresse IP du Client VPN qui est utilisée par défaut.

Active la fragmentation des paquets IKEv2 conformément à la RFC 7383.

Cette fonction permet d’éviter que les paquets IKEv2 ne soient fragmentés par le réseau IP traversé.

En général, il convient de spécifier une taille de fragment inférieure de 200 octets à la MTU de l’interface physique, par exemple 1300 octets dans le cas d’une MTU classique de 1500 octets.

Les échanges IKE Init (pendant la phase d'authentification IKE) s’effectuent sur le protocole UDP, en utilisant par défaut le port 500. Le paramétrage du port IKE permet de passer les équipements réseau (pare-feux, routeurs) qui filtrent ce port 500.

NOTE
La passerelle VPN distante doit aussi être capable d’effectuer les échanges IKE Auth sur un port différent de 500.

Les échanges IKE Auth, les échanges IKE Child SA et le trafic IPsec s’effectuent sur le protocole UDP, en utilisant par défaut le port 4500. Le paramétrage du port NAT permet de passer les équipements réseau (pare-feux, routeurs) qui filtrent ce port 4500.

NOTE
La passerelle VPN distante doit aussi être capable d’effectuer les échanges IKE Child SA sur un port différent de 4500.

La fonction DPD (Dead Peer Detection) permet au Client VPN de détecter que la passerelle VPN devient inaccessible ou inactive.

La période de vérification est la période entre deux envois de messages de vérification DPD, exprimée en secondes.

La fonction de DPD est active à l’ouverture du tunnel (après la phase d’authentification). Associé à une passerelle redondante, le DPD permet au Client VPN de basculer automatiquement d’une passerelle à l’autre sur indisponibilité de l’une ou l’autre.

Permet de définir l’adresse d’une passerelle VPN de secours sur laquelle le Client VPN bascule lorsque la passerelle VPN initiale est indisponible ou inaccessible.

L’adresse de la passerelle VPN redondante peut être une adresse IP ou DNS.

IMPORTANT
La fonction Passerelle redondante ne doit pas être configurée conjointement avec la fonction Tunnel de repli. Il convient de choisir soit l’une ou l’autre, faute de quoi le Client VPN pourrait adopter un comportement non déterminé.

Voir le chapitre Passerelle redondante.

Adresse IP « virtuelle » du poste, tel qu’il sera « vu » sur le réseau distant.

Techniquement, c’est l’adresse IP source des paquets IP transportés dans le tunnel IPsec.

NOTE
La taille par défaut du réseau local virtuel est 24. Pour utiliser un réseau local d’une autre taille (p. ex. 32), il convient d’ajouter le paramètre dynamique local_virtual_network_size défini à la valeur souhaitée (valeurs possibles : 1 à 32 ; voir section Afficher plus de paramètres).

L’extrémité du tunnel peut être un réseau ou un poste distant.

Voir la section Configuration du type d’adresse ci-dessous.

Algorithme de chiffrement négocié au cours de la phase IPsec :

Auto, AES CBC (128, 192, 256), AES CTR (128, 192, 256), AES GCM (128, 192, 256).

Algorithme d’intégrité négocié au cours de la phase IPsec :

Auto, SHA2 256, SHA2 384, SHA2 512.

Longueur de la clé Diffie-Hellman :

Auto, DH14 (MODP 2048), DH15 (MODP 3072), DH16 (MODP 4096), DH17 (MODP 6144), DH18 (MODP 8192), DH19 (ECP 256), DH20 (ECP 384), DH21 (ECP 521), DH28 (BrainpoolP256r1).

Suffixe de domaine à ajouter à chaque nom de machine.

Ce paramètre est optionnel. Lorsqu’il est spécifié, le Client VPN essaye de traduire l’adresse de la machine sans ajouter le suffixe DNS. Puis, si la traduction échoue, il ajoute le suffixe DNS et essaye à nouveau de traduire l’adresse.

Il est possible de configurer le Client VPN pour vérifier régulièrement la connectivité au réseau distant. Si la connectivité est perdue, le Client VPN ferme automatiquement le tunnel puis tente de le rouvrir.

Le champ IPV4/IPV6 est l’adresse d’une machine située sur le réseau distant, censée répondre aux « ping » envoyés par le Client VPN. S’il n’y a pas de réponse au « ping », la connectivité est considérée comme perdue.

NOTE
Si le tunnel est configuré en IPv4 (bouton en haut à droite de l’onglet), c’est le champ IPv4 qui est présenté. Si le tunnel est configuré en IPv6, c’est le champ IPv6 qui est présenté.

Nom de l’interface réseau sur laquelle la connexion VPN est ouverte.

Il est possible de laisser au logiciel le soin de déterminer cette interface, en sélectionnant Automatique.

Privilégier ce choix lorsque le tunnel en cours de configuration est destiné à être déployé sur un autre poste par exemple.

Algorithme d’authentification négocié pour le trafic :

Automatique, SHA-224, SHA-256, SHA-384, SHA-512.

NOTE
Si l’option Extra HMAC est activée (cf. ci-dessous), l’algorithme d’authentification ne peut être Automatique. Il doit être configuré explicitement, et doit être identique à celui choisi côté passerelle.

Algorithme de chiffrement du trafic :

Automatique, AES-128-CBC, AES-192-CBC, AES-256-CBC.

Période exprimée en seconde d’envoi par le Client VPN d’un « ping » vers la passerelle. Cet envoi permet à la passerelle de déterminer que le Client VPN est toujours présent.

Durée en secondes à l’issue de laquelle, si aucun « ping » n’a été reçu de la passerelle, celle-ci est considérée comme indisponible.

Ce paramètre configure le Client VPN pour envoyer une trame spécifique de clôture du tunnel VPN à la passerelle, quand on ferme le tunnel.

Si cette option n’est pas cochée, la passerelle utilise le DPD pour fermer le tunnel de son côté, ce qui est moins performant.

Spécifie le niveau de contrôle appliqué au certificat de la passerelle.

Dans la version actuelle, deux niveaux sont disponibles :

• Oui (la validité du certificat est vérifiée) ;

• Non (la validité du certificat n’est pas vérifiée).

Le choix Simple est réservé pour un usage futur. Il est équivalent au choix Oui dans cette version.

Si l’option Vérifier la signature du certificat de la passerelle est activée dans les Options PKI (cf. section Options PKI), la présente option de l’onglet Passerelle est grisée et le choix est fixé à Oui.

Permet de définir le niveau de cohérence entre les paramètres du tunnel VPN et ceux de la passerelle (algorithmes de chiffrement, compression, etc.).

• Oui : La cohérence est vérifiée sur l’ensemble des paramètres VPN. Le tunnel VPN ne peut s’ouvrir si un paramètre diffère.

• Non : La cohérence n’est pas vérifiée avant ouverture du tunnel. Le tunnel VPN tente de s’ouvrir, quitte à ce qu’aucun trafic ne puisse passer parce que certains paramètres sont incohérents.

• Simple : La cohérence entre le Client VPN et la passerelle n’est vérifiée que sur les paramètres essentiels.

• Appliquer : Les paramètres de la passerelle sont appliqués.

Si ce champ est rempli, le Client VPN vérifie que le sujet du certificat reçu de la passerelle est bien celui spécifié.

Taille maximale des paquets OpenVPN.

Permet de spécifier une taille de paquet de telle sorte que les trames OpenVPN ne soient pas fragmentées au niveau réseau.

Par défaut, la MTU spécifiée est à 0, ce qui signifie que le logiciel prend la valeur de la MTU de l’interface physique.

MTU de l’interface virtuelle.

Lorsqu’elles sont renseignées, il est recommandé de configurer une valeur pour la MTU du tunnel inférieure à celle de la MTU de l’interface physique.

Par défaut, la MTU spécifiée est à 0, ce qui signifie que le logiciel prend la valeur de la MTU de l’interface physique.

Définit le comportement du Client VPN lorsqu’il reçoit de la part de la passerelle une configuration IPv4 :

• Automatique : Accepte ce qui est envoyé par la passerelle

• Oui : Vérifie que ce qui est envoyé par la passerelle correspond au comportement configuré. Si ce n’est pas le cas, un message d’alerte est affiché dans la Console et le tunnel ne se monte pas.

• Non : Ignore

NOTE
Vérifier que les deux choix Tunnel IPv4 et Tunnel IPv6 ne sont pas tous deux à Non.

Numéro du port utilisé pour l’établissement du tunnel. Par défaut, le port est configuré à 1194.

Par défaut, le tunnel utilise UDP. L’option TCP permet de transporter le tunnel sur TCP.

Délai d’établissement de la phase d’authentification au bout duquel on considère que le tunnel ne s’ouvrira pas. À échéance de ce timeout, le tunnel est fermé.

Nombre de retransmission d’un message protocolaire.

Sur absence de réponse au bout de ce nombre de retransmission du message, le tunnel est fermé.

Les caractéristiques du réseau distant ne sont pas configurées en OpenVPN (elles sont récupérées automatiquement dans l’échange d’ouverture du tunnel avec la passerelle). Pour mettre en œuvre la fonction de détection de trafic en OpenVPN, il est donc nécessaire de spécifier explicitement ces caractéristiques du réseau distant. C’est l’objet des champs IPv4 et IPv6.

Il n’est pas obligatoire de renseigner les deux champs.

Le champ IP est une adresse de sous réseau, configurée sous forme d’une adresse IP et d’une longueur de préfixe.

Exemple : IP = 192.168.1.0 / 24 : les 24 premiers bits de l’adresse IP sont pris en compte, soit le réseau : 192.168.1.x

NOTE
Ces paramètres sont liés à la fonction de détection de trafic. Pour que les champs IPv4 et IPv6 soient activés, la case Ouvrir automatiquement sur détection de trafic de l’onglet Automatisation doit être cochée.