Configuration d'un tunnel VPN IPsec d'accès à distance avec
    un client VPN
    Cette section décrit la procédure de configuration d'un tunnel IPsec VPN pour
    l'accès à distance avec un client VPN ou à l'aide de Standard IPsec (Xauth).
    L'assistant VPN vous aide à configurer un tunnel pour permettre aux travailleurs de
    se connecter à votre réseau à partir d'emplacements distants à l'aide d'un client
    VPN IPsec. Après avoir créé les stratégies via l'assistant, vous pouvez mettre à
    jour tous les paramètres à l'aide des autres options du volet de navigation.
    L'assistant définit la plupart des paramètres sur les valeurs par défaut comme
    suggéré par le consortium VPN (VPNC) et suppose une clé prépartagée, qui
    simplifie considérablement la configuration. Pour obtenir des informations sur les
    recommandations du VPNC, consultez : www.vpnc.org/vpn-standards.html.
    Avec les paramètres par défaut de l'assistant, vous devez ajouter des utilisateurs
    VPN via la page des utilisateurs VPN IPsec une fois l'assistant terminé. Vous
    pouvez également modifier la stratégie IKE pour permettre une authentification
    XAUTH (Extended Authentication) à partir des enregistrements utilisateur stockés
    sur un serveur d'authentification externe comme un serveur RADIUS.
    Pour obtenir plus d'information sur la configuration d'un tunnel IPsec entre SA500
    et un client VPN Cisco, reportez-vous à la note d'application dans la
    documentation technique : www.cisco.com/go/sa500resources.
    Le logiciel client Cisco VPN est disponible au téléchargement à l'adresse
    suivante : www.cisco.com/go/ciscovpnclient. Pour Windows sélectionner Cisco
    VPN Client v5.x. Pour Mac OS sélectionner Cisco VPN Client v4.x.
    REMARQUE Un contrat d'assistance de trois ans Cisco Small Business (CON-SBS-SVC2) est
    requis pour télécharger le logiciel client. Si vous n’en disposez pas, contactez votre
    partenaire ou revendeur, ou l’assistance Cisco pour plus d’informations.
    La configuration VPN
    Configuration d'un tunnel VPN IPsec d'accès à distance avec un client VPN
    Guide d’administration des appliances de sécurité de la gamme Cisco SA500 149
    7
    Figure 6 Accès à distance VPN IPsec avec un client VPN
    ÉTAPE 1 Cliquez sur VPN > IPsec > VPN Wizard ou, sur la page Getting Started
    (Advanced), sous IPsec VPN Remote Access, cliquez sur VPN Wizard.
    La fenêtre VPN Wizard s'ouvre.
    ÉTAPE 2 Dans la zone About VPN Wizard, choisissez Remote Access pour permettre à
    l'appliance de sécurité de donner accès aux PC distants qui exécutent le logiciel
    client VPN.
    ÉTAPE 3 Dans la zone Connection Name and Remote IP Type, saisissez les informations
    suivantes :
    • What is the new connection name? : saisissez un nom pour la connexion.
    Le nom est utilisé à des fins de gestion et d'identification.
    • What is the pre-shared Key? : saisissez la valeur souhaitée, que le
    périphérique homologue doit fournir pour établir une connexion. La longueur
    de la clé prépartagée est comprise entre 8 et 49 caractères et doit être
    saisie exactement de la même façon à cet endroit et sur le client distant.
    REMARQUE N'utilisez pas de guillemet double (" ) dans la clé prépartagée.
    • Local WAN Interface : si vous avez configuré deux WAN, choisissez
    l'interface que vous souhaitez utiliser pour ce tunnel VPN. Si vous avez
    configuré un seul WAN, choisissez Dedicated WAN.
    235236-fr
    Intérieur
    10.10.10.0
    En dehors
    Appliance
    de sécurité
    Serveur DNS
    10.10.10.163
    Serveur WINS
    10.10.10.133
    Internet
    Réseau
    interne
    PC
    utilisant un client logiciel VPN
    PC
    utilisant un client logiciel VPN
    PC
    utilisant un client logiciel VPN
    La configuration VPN
    Configuration d'un tunnel VPN IPsec d'accès à distance avec un client VPN
    Guide d’administration des appliances de sécurité de la gamme Cisco SA500 150
    7
    ÉTAPE 4 Dans la zone Remote & Local WAN Addresses, saisissez les informations
    suivantes relatives au serveur distant et au serveur local :
    • Remote Gateway Type : choisissez Fully Qualified Domain Name (FQDN)
    puis saisissez un nom dans le champ Remote WAN’s IP Address or Internet
    Name pour identifier le client VPN sur la passerelle.
    • Local Gateway Type : ce champ peut rester vide si vous utilisez le même
    FQDN ou adresse IP que celle spécifiée dans la configuration du port WAN.
    Choisissez IP Address si vous souhaitez saisir une adresse IP ou choisissez
    Fully Qualified Domain Name (FQDN) si vous souhaitez saisir un nom de
    domaine, par exemple vpn.company.com. Saisissez ensuite cette adresse
    ou ce nom dans champ Local WAN’s IP Address or Internet Name.
    ÉTAPE 5 Cliquez sur Apply pour enregistrer les paramètres.
    REMARQUE Étapes suivantes :
    • Si vous êtes sur la page Getting Started (Advanced), cliquez sur Getting
    Started > Advanced pour retourner à la liste des tâches de configuration
    pour IPsec Remote Access VPN.
    • Obligatoire : configurez les utilisateurs du VPN.
    - Pour ajouter des utilisateurs à la base de données utilisateur, continuez
    avec la procédure Configuration de la base de données utilisateur
    pour l'accès à distance VPN IPsec, page 151.
    - Pour permettre l'authentification XAUTH à partir des enregistrements
    utilisateur stockés sur un serveur d'authentification externe comme
    RADIUS, consultez Configuration des stratégies IKE pour VPN IPsec,
    page153.
    • Pour vérifier ou mettre à jour la stratégie VPN configurée, cliquez sur IPsec
    > VPN Policies. Pour obtenir plus d'informations, reportez-vous à la section
    Configuration des stratégies VPN IPsec, page157.
    • Pour vérifier ou mettre à jour la stratégie IKE configurée, cliquez sur IPsec >
    IKE Policies. Pour obtenir plus d'informations, reportez-vous à la section
    Configuration des stratégies IKE pour VPN IPsec, page153.
    • Pour configurer le transfert IPsec, cliquez sur IPsec > Passthrough. Pour
    obtenir plus d'informations, reportez-vous à la section Configuration du
    transfert IPsec, page162.
    La configuration VPN
    Configuration d'un tunnel VPN IPsec d'accès à distance avec un client VPN
    Guide d’administration des appliances de sécurité de la gamme Cisco SA500 151
    7
    Configuration de la base de données utilisateur pour l'accès à
    distance VPN IPsec
    Si vous utilisez VPN IPsec pour l'accès à distance par les travailleurs distants,
    cette page permet de gérer les utilisateurs (XAUTH et Cisco QuickVPN). La
    passerelle VPN authentifie les utilisateurs de cette liste lorsque XAUTH est utilisé
    dans une stratégie IKE.
    Vous pouvez également activer l'authentification XAUTH à partir des
    enregistrements utilisateur stockés sur un serveur d'authentification externe
    comme un serveur RADIUS, consultez Configuration des stratégies IKE pour
    VPN IPsec, page153.
    Si vous utilisez le client VPN Cisco, reportez-vous à la note d'application dans la
    documentation technique : www.cisco.com/go/sa500resources.
    ÉTAPE 1 Cliquez sur VPN > IPsec > IPsec Users.
    La fenêtre IPsec Users s'ouvre. Tous les utilisateurs existants sont répertoriés dans
    le tableau List of IPsec Users.
    ÉTAPE 2 Cliquez sur Add pour ajouter un utilisateur.
    Autres options : cliquez sur le bouton Edit pour modifier une entrée. Pour
    supprimer une entrée, sélectionnez la case correspondante, puis cliquez sur
    Delete. Pour sélectionner toutes les entrées, sélectionnez la case dans la
    première colonne de l'en-tête du tableau.
    Lorsque vous cliquez sur Add ou Edit, la fenêtre IPsec User Configuration s'ouvre.
    ÉTAPE 3 Saisissez les informations suivantes :
    • User Name : saisissez un identifiant unique pour l'utilisateur XAUTH.
    • Remote Peer Type : sélectionnez l’une des options suivantes :
    - Standard IPsec (XAuth)
    - Cisco QuickVPN
    X-Auth est une norme IPsec qui étend l'authentification en IPsec natif
    pour fournir les informations d'identification des utilisateurs. XAUTH peut
    être utilisé si une sécurité supplémentaire du client est nécessaire avec
    les clients IPsec tels que Greenbow. QuickVPN est un client Cisco
    propriétaire/Linksys qui utilise l'authentification des utilisateurs mais la
    mise en oeuvre est spécifique au QuickVPN uniquement. Cette option
    doit être sélectionnée lorsque les clients utilisent le client QuickVPN.
    La configuration VPN
    Configuration avancée du VPN IPsec
    Guide d’administration des appliances de sécurité de la gamme Cisco SA500 152
    7
    • Allow user to change password? : si vous choisissez Cisco QuickVPN en
    tant que type de l'homologue distant, vous pouvez cocher cette case pour
    autoriser l'utilisateur à modifier le mot de passe.
    • Password: saisissez un mot de passe alphanumérique pour cet utilisateur.
    • Confirm Password : confirmez les caractères que vous avez saisis dans le
    champ Password.
    • LAN IP address : saisissez le sous-réseau IP LAN vers lequel l'utilisateur
    aura accès à distance. Le sous-réseau doit faire partie des adresses IP LAN
    ou VLAN.
    • Subnet Mask : saisissez le masque de sous-réseau pour le sous-réseau
    local.
    ÉTAPE 4 Cliquez sur Apply pour enregistrer les paramètres.
    ÉTAPE 5 Répétez autant que nécessaire pour chaque utilisateur que vous devez ajouter.