Citation :
Configuration d'un tunnel VPN IPsec d'accès à distance avec
un client VPN
Cette section décrit la procédure de configuration d'un tunnel IPsec VPN pour
l'accès à distance avec un client VPN ou à l'aide de Standard IPsec (Xauth).
L'assistant VPN vous aide à configurer un tunnel pour permettre aux travailleurs de
se connecter à votre réseau à partir d'emplacements distants à l'aide d'un client
VPN IPsec. Après avoir créé les stratégies via l'assistant, vous pouvez mettre à
jour tous les paramètres à l'aide des autres options du volet de navigation.
L'assistant définit la plupart des paramètres sur les valeurs par défaut comme
suggéré par le consortium VPN (VPNC) et suppose une clé prépartagée, qui
simplifie considérablement la configuration. Pour obtenir des informations sur les
recommandations du VPNC, consultez : www.vpnc.org/vpn-standards.html.
Avec les paramètres par défaut de l'assistant, vous devez ajouter des utilisateurs
VPN via la page des utilisateurs VPN IPsec une fois l'assistant terminé. Vous
pouvez également modifier la stratégie IKE pour permettre une authentification
XAUTH (Extended Authentication) à partir des enregistrements utilisateur stockés
sur un serveur d'authentification externe comme un serveur RADIUS.
Pour obtenir plus d'information sur la configuration d'un tunnel IPsec entre SA500
et un client VPN Cisco, reportez-vous à la note d'application dans la
documentation technique : www.cisco.com/go/sa500resources.
Le logiciel client Cisco VPN est disponible au téléchargement à l'adresse
suivante : www.cisco.com/go/ciscovpnclient. Pour Windows sélectionner Cisco
VPN Client v5.x. Pour Mac OS sélectionner Cisco VPN Client v4.x.
REMARQUE Un contrat d'assistance de trois ans Cisco Small Business (CON-SBS-SVC2) est
requis pour télécharger le logiciel client. Si vous n’en disposez pas, contactez votre
partenaire ou revendeur, ou l’assistance Cisco pour plus d’informations.
La configuration VPN
Configuration d'un tunnel VPN IPsec d'accès à distance avec un client VPN
Guide d’administration des appliances de sécurité de la gamme Cisco SA500 149
7
Figure 6 Accès à distance VPN IPsec avec un client VPN
ÉTAPE 1 Cliquez sur VPN > IPsec > VPN Wizard ou, sur la page Getting Started
(Advanced), sous IPsec VPN Remote Access, cliquez sur VPN Wizard.
La fenêtre VPN Wizard s'ouvre.
ÉTAPE 2 Dans la zone About VPN Wizard, choisissez Remote Access pour permettre à
l'appliance de sécurité de donner accès aux PC distants qui exécutent le logiciel
client VPN.
ÉTAPE 3 Dans la zone Connection Name and Remote IP Type, saisissez les informations
suivantes :
• What is the new connection name? : saisissez un nom pour la connexion.
Le nom est utilisé à des fins de gestion et d'identification.
• What is the pre-shared Key? : saisissez la valeur souhaitée, que le
périphérique homologue doit fournir pour établir une connexion. La longueur
de la clé prépartagée est comprise entre 8 et 49 caractères et doit être
saisie exactement de la même façon à cet endroit et sur le client distant.
REMARQUE N'utilisez pas de guillemet double (" ) dans la clé prépartagée.
• Local WAN Interface : si vous avez configuré deux WAN, choisissez
l'interface que vous souhaitez utiliser pour ce tunnel VPN. Si vous avez
configuré un seul WAN, choisissez Dedicated WAN.
235236-fr
Intérieur
10.10.10.0
En dehors
Appliance
de sécurité
Serveur DNS
10.10.10.163
Serveur WINS
10.10.10.133
Internet
Réseau
interne
PC
utilisant un client logiciel VPN
PC
utilisant un client logiciel VPN
PC
utilisant un client logiciel VPN
La configuration VPN
Configuration d'un tunnel VPN IPsec d'accès à distance avec un client VPN
Guide d’administration des appliances de sécurité de la gamme Cisco SA500 150
7
ÉTAPE 4 Dans la zone Remote & Local WAN Addresses, saisissez les informations
suivantes relatives au serveur distant et au serveur local :
• Remote Gateway Type : choisissez Fully Qualified Domain Name (FQDN)
puis saisissez un nom dans le champ Remote WAN’s IP Address or Internet
Name pour identifier le client VPN sur la passerelle.
• Local Gateway Type : ce champ peut rester vide si vous utilisez le même
FQDN ou adresse IP que celle spécifiée dans la configuration du port WAN.
Choisissez IP Address si vous souhaitez saisir une adresse IP ou choisissez
Fully Qualified Domain Name (FQDN) si vous souhaitez saisir un nom de
domaine, par exemple vpn.company.com. Saisissez ensuite cette adresse
ou ce nom dans champ Local WAN’s IP Address or Internet Name.
ÉTAPE 5 Cliquez sur Apply pour enregistrer les paramètres.
REMARQUE Étapes suivantes :
• Si vous êtes sur la page Getting Started (Advanced), cliquez sur Getting
Started > Advanced pour retourner à la liste des tâches de configuration
pour IPsec Remote Access VPN.
• Obligatoire : configurez les utilisateurs du VPN.
- Pour ajouter des utilisateurs à la base de données utilisateur, continuez
avec la procédure Configuration de la base de données utilisateur
pour l'accès à distance VPN IPsec, page 151.
- Pour permettre l'authentification XAUTH à partir des enregistrements
utilisateur stockés sur un serveur d'authentification externe comme
RADIUS, consultez Configuration des stratégies IKE pour VPN IPsec,
page153.
• Pour vérifier ou mettre à jour la stratégie VPN configurée, cliquez sur IPsec
> VPN Policies. Pour obtenir plus d'informations, reportez-vous à la section
Configuration des stratégies VPN IPsec, page157.
• Pour vérifier ou mettre à jour la stratégie IKE configurée, cliquez sur IPsec >
IKE Policies. Pour obtenir plus d'informations, reportez-vous à la section
Configuration des stratégies IKE pour VPN IPsec, page153.
• Pour configurer le transfert IPsec, cliquez sur IPsec > Passthrough. Pour
obtenir plus d'informations, reportez-vous à la section Configuration du
transfert IPsec, page162.
La configuration VPN
Configuration d'un tunnel VPN IPsec d'accès à distance avec un client VPN
Guide d’administration des appliances de sécurité de la gamme Cisco SA500 151
7
Configuration de la base de données utilisateur pour l'accès à
distance VPN IPsec
Si vous utilisez VPN IPsec pour l'accès à distance par les travailleurs distants,
cette page permet de gérer les utilisateurs (XAUTH et Cisco QuickVPN). La
passerelle VPN authentifie les utilisateurs de cette liste lorsque XAUTH est utilisé
dans une stratégie IKE.
Vous pouvez également activer l'authentification XAUTH à partir des
enregistrements utilisateur stockés sur un serveur d'authentification externe
comme un serveur RADIUS, consultez Configuration des stratégies IKE pour
VPN IPsec, page153.
Si vous utilisez le client VPN Cisco, reportez-vous à la note d'application dans la
documentation technique : www.cisco.com/go/sa500resources.
ÉTAPE 1 Cliquez sur VPN > IPsec > IPsec Users.
La fenêtre IPsec Users s'ouvre. Tous les utilisateurs existants sont répertoriés dans
le tableau List of IPsec Users.
ÉTAPE 2 Cliquez sur Add pour ajouter un utilisateur.
Autres options : cliquez sur le bouton Edit pour modifier une entrée. Pour
supprimer une entrée, sélectionnez la case correspondante, puis cliquez sur
Delete. Pour sélectionner toutes les entrées, sélectionnez la case dans la
première colonne de l'en-tête du tableau.
Lorsque vous cliquez sur Add ou Edit, la fenêtre IPsec User Configuration s'ouvre.
ÉTAPE 3 Saisissez les informations suivantes :
• User Name : saisissez un identifiant unique pour l'utilisateur XAUTH.
• Remote Peer Type : sélectionnez l’une des options suivantes :
- Standard IPsec (XAuth)
- Cisco QuickVPN
X-Auth est une norme IPsec qui étend l'authentification en IPsec natif
pour fournir les informations d'identification des utilisateurs. XAUTH peut
être utilisé si une sécurité supplémentaire du client est nécessaire avec
les clients IPsec tels que Greenbow. QuickVPN est un client Cisco
propriétaire/Linksys qui utilise l'authentification des utilisateurs mais la
mise en oeuvre est spécifique au QuickVPN uniquement. Cette option
doit être sélectionnée lorsque les clients utilisent le client QuickVPN.
La configuration VPN
Configuration avancée du VPN IPsec
Guide d’administration des appliances de sécurité de la gamme Cisco SA500 152
7
• Allow user to change password? : si vous choisissez Cisco QuickVPN en
tant que type de l'homologue distant, vous pouvez cocher cette case pour
autoriser l'utilisateur à modifier le mot de passe.
• Password: saisissez un mot de passe alphanumérique pour cet utilisateur.
• Confirm Password : confirmez les caractères que vous avez saisis dans le
champ Password.
• LAN IP address : saisissez le sous-réseau IP LAN vers lequel l'utilisateur
aura accès à distance. Le sous-réseau doit faire partie des adresses IP LAN
ou VLAN.
• Subnet Mask : saisissez le masque de sous-réseau pour le sous-réseau
local.
ÉTAPE 4 Cliquez sur Apply pour enregistrer les paramètres.
ÉTAPE 5 Répétez autant que nécessaire pour chaque utilisateur que vous devez ajouter.
|