Instructions à destination de l'Utilisateur Final pour l'installation du Client Mobile VPN IPSec

Ces instructions ont été rédigées à l'attention des utilisateurs finaux du Client Mobile VPN IPSec de WatchGuard. Ces instructions invitent les utilisateurs finaux à contacter leur administrateur réseau concernant l'installation d'un pare-feu de bureau, la configuration d'un pare-feu intégré au logiciel client ou les paramètres de contrôle du comportement de la connexion s'ils n'utilisent pas de fichier .ini. Vous pouvez imprimer ces instructions ou les utiliser pour créer un ensemble d'instructions pour vos utilisateurs finaux.

Le Client Mobile VPN IPSec de WatchGuard crée une connexion chiffrée entre votre ordinateur et le Firebox via une connexion Internet standard. Le Client Mobile VPN IPSec vous permet d'accéder aux ressources protégées du réseau depuis n'importe quel emplacement distant à l'aide d'une connexion Internet.

Avant d'installer le Client Mobile VPN with IPSec de WatchGuard, veillez à bien assimiler ces exigences et recommandations.

  • Vous pouvez installer le logiciel Client Mobile VPN IPSec de WatchGuard sur n'importe quel ordinateur exécutant une version de Windows ou macOS prise en charge. Pour obtenir des informations concernant les systèmes d'exploitation compatibles, consultez la liste de Compatibilité des Systèmes d'Exploitation dans les Notes de Publication Fireware. Vous trouverez les Notes de Publication de la version de votre système d'exploitation Fireware OS à la page Notes de Publication Fireware du site Web de WatchGuard.
  • Avant d'installer le logiciel client, vérifiez qu'aucun autre logiciel client VPN IPSec n'est déjà installé sur l'ordinateur distant. Vous devez également désinstaller tout logiciel de pare-feu de bureau (autre que le logiciel de pare-feu Microsoft) de chaque ordinateur distant.
  • Nous vous conseillons d'installer tous les service packs disponibles du système d'exploitation de votre client avant d'installer le logiciel client Mobile VPN.
  • Les paramètres WINS et DNS du client Mobile VPN sont contenus dans le profil client que vous importez lorsque vous configurez votre client Mobile VPN.
  • Nous vous recommandons de conserver les paramètres par défaut du client Mobile VPN, sauf sur indication contraire de cette documentation.

Vous devez utiliser le programme d'installation du logiciel client correspondant à votre type de système d'exploitation Windows (64 bits ou 32 bits). Pour consulter le type de votre système sous Windows 10, saisissez À propos de dans la zone de recherche Cortana puis sélectionnez À Propos de Votre Ordinateur. Pour obtenir les instructions concernant les autres systèmes d'exploitation Windows, consultez votre administrateur réseau ou la documentation Microsoft.

Avant de lancer l'installation, vérifiez la présence des composants d'installation suivants :

  • programme d'installation du logiciel Mobile VPN IPSec (Windows 32 bits ou 64 bits)
  • Profil de l'utilisateur final, avec extension de fichier .wgx ou .ini
  • Mot de passe (si le profil de l'utilisateur final est un fichier .wgx ou si la connexion utilise des certificats pour l'authentification)
  • Nom d'utilisateur et mot de passe
  • fichier de certificat cacert.pem et .p12 (si la connexion utilise des certificats pour l'authentification)
  • Le numéro de licence et le numéro de série du Client VPN IPSec WatchGuard permettant d'activer le client (requis pour le client afin qu'il continue de fonctionner à l'issue de la période d'essai de 30 jours)

Installer le Logiciel client pour Windows

Pour installer le client sur un ordinateur Windows :

  1. Copiez le fichier .zip Mobile VPN sur l'ordinateur distant avant d'extraire le contenu du fichier sur l'ordinateur distant (client ou utilisateur). Assurez-vous d'utiliser le programme d'installation correspondant à votre type de système d'exploitation (32 bits ou 64 bits).
  2. Copiez le profil de l'utilisateur final (fichier .wgx ou .ini) dans le même répertoire que le logiciel d'installation du client.
    Si vous utilisez des certificats d'authentification, copiez également les fichiers cacert.pem et .p12 dans le même répertoire.
  3. Double-cliquez sur le fichier .exe que vous avez extrait à l'étape 1. L'Assistant WatchGuard Mobile VPN Installation Wizard démarre.
  4. Cliquez sur suivant à chaque étape de l'Assistant d'installation et acceptez tous les paramètres par défaut.
  5. Redémarrez l'ordinateur à la fin de l'Assistant d'installation.
  6. Lorsque l'ordinateur redémarre, le WatchGuard Mobile VPN Monitor s'affiche. Si le logiciel démarre pour la première fois après son installation, vous voyez apparaître le message :

Aucun profil pour l'accès à distance VPN.
Souhaitez-vous utiliser l'assistant de configuration pour créer un profil maintenant ?

  1. Cliquez sur Non.
  2. Sélectionnez Affichage > Démarrage automatique > Pas de démarrage automatique afin que le programme ne démarre pas automatiquement.

Pour démarrer le client WatchGuard Mobile VPN sous Windows 10 :

Depuis le bureau de Windows, sélectionnez Démarrer puis WatchGuard Mobile VPN > Mobile VPN Monitor. Pour obtenir les instructions concernant les autres systèmes d'exploitation Windows, consultez votre administrateur réseau.

Pour configurer le client, importez le fichier d'utilisateur final configurant le client Mobile VPN IPSec avec les paramètres requis pour créer un tunnel VPN. Pour effectuer cette procédure, vous aurez besoin du mot de passe de profil défini par l'administrateur.

Pour importer un fichier .wgx ou .ini de configuration de Mobile VPN :

  1. Dans le Client Mobile VPN de WatchGuard, sélectionnez Configuration > Profils.
  2. Cliquez sur Ajouter/Importer.
    L'assistant New Profile Wizard se lance.
  3. Sélectionnez Importation du Profil.
  4. Cliquez sur Suivant.
  5. Accédez à l'emplacement du fichier de configuration .wgx ou .ini. Pour sélectionner un fichier .ini, vous devez sélectionner Tous les Fichiers dans le menu déroulant de format de fichier Windows.
  6. Cliquez sur Suivant.
  7. Saisissez le mot de passe à l'écran Déchiffrer le Profil d'Utilisateur. Le mot de passe respecte la casse.
  8. Cliquez sur Suivant.
  9. Sur l'écran Écraser ou ajouter un profil, vous pouvez remplacer un profil en conservant le même nom. Cette opération peut s'avérer utile si votre administrateur réseau vous a fourni un nouveau fichier .wgx ou .ini à importer.
  10. Cliquez sur Suivant.
  11. Sur l'écran Authentification, vous pouvez entrer le nom d'utilisateur et le mot de passe que vous utilisez pour authentifier le tunnel VPN.
    Spécifiez seulement le nom d'utilisateur. Ne faites pas précéder le nom d'utilisateur d'un nom de domaine et ne spécifiez pas d'adresse e-mail.

Pour saisir vos informations d'identification chaque fois que vous vous connectez au VPN, ne renseignez pas les zones de texte Nom d'utilisateur et Mot de Passe. Cette méthode offre la meilleure sécurité.

Pour vous connecter au VPN avec les informations d'identification enregistrées, saisissez votre nom d'utilisateur et votre mot de passe. Le Firebox enregistre ces informations pour vous éviter de les saisir à chaque nouvelle connexion. Cette méthode est la moins sure. Vous pouvez également saisir votre nom d'utilisateur et ne pas renseigner la zone de texte Mot de Passe.

Après l'installation du logiciel client, réinstallez le logiciel de pare-feu de bureau original ou configurez le pare-feu qui fait partie du logiciel client. Si vous utilisez un pare-feu de bureau tiers, veillez à le configurer pour qu'il autorise l'activation du tunnel VPN par le trafic et pour que le trafic passe par le tunnel. Contactez votre administrateur réseau pour obtenir des instructions à ce sujet.

Installer le Logiciel Client pour macOS

Pour installer le client sur un ordinateur macOS :

  1. Copiez le fichier d'image de disque (.dmg) Mobile VPN sur l'ordinateur distant. N'ouvrez pas le fichier d'image de disque depuis un CD ou un autre lecteur externe.
  2. Copiez le profil de l'utilisateur final (le fichier .wgx ou .ini) sur l'ordinateur distant (client ou utilisateur).
    Si vous utilisez des certificats d'authentification, copiez également les fichiers cacert.pem et .p12 dans le répertoire racine.
  3. Double-cliquez sur le programme d'installation Mobile VPN.
  4. Double-cliquez sur l'icône Watchguard Mobile VPN.pkg.
    Le logiciel d'installation Mobile VPN de WatchGuard démarre.
  5. Suivez les étapes de l'assistant et acceptez tous les paramètres par défaut.
    Le logiciel client VPN s'installe dans le répertoire Applications.

Pour démarrer le Client Mobile VPN de WatchGuard :

Dans le répertoire Applications, double-cliquez sur le client WatchGuard Mobile VPN.

Pour configurer le client, importez le fichier d'utilisateur final configurant le client Mobile VPN IPSec avec les paramètres requis pour créer un tunnel VPN. Pour effectuer cette procédure, vous aurez besoin du mot de passe de profil défini par l'administrateur.

Pour importer le profil d'utilisateur final :

  1. Démarrez le Client Mobile VPN de WatchGuard.
    La première fois que vous démarrez le client Mobile VPN de WatchGuard, il vous demande d'entrer un nom de profil.
  2. Cliquez sur Annuler.
  3. Pour importer le profil, cliquez sur Importer.
  4. Rendez-vous dans le répertoire où vous avez enregistré le fichier .wgx. ou le fichier .ini.
  5. Sélectionnez le fichier et cliquez sur Ouvrir.
  6. Cliquez sur Suivant.
  7. Si vous utilisez un fichier .wgx, dans la zone de texte Clé, entrez le mot de passe du profil.
  8. Cliquez sur Suivant.
  9. Sélectionnez le profil à importer dans le fichier importé.
  10. Cliquez sur Suivant.
  11. Sur la page Données d'authentification, indiquez si vous voulez entrer le nom d'utilisateur et le mot de passe que vous utilisez pour authentifier le tunnel VPN.

Si vous entrez votre nom d'utilisateur et votre mot de passe, Firebox les enregistre et vous n'aurez plus à entrer ces informations à chaque connexion. Toutefois, cela présente un risque de sécurité. Vous pouvez également n'entrer votre nom d'utilisateur et laisser le champ Mot de Passe vide. Si vous saisissez un nom d'utilisateur, ne faites pas précéder le nom d'utilisateur d'un nom de domaine et ne spécifiez pas d'adresse e-mail.

  1. Cliquez sur Suivant.
  2. Cliquez sur Terminer.
  3. Cliquez sur OK.

Pour voir les profils installés ou installer un autre profil, dans le client Mobile VPN de WatchGuard, sélectionnez WatchGuard Mobile VPN > Profils.

Après l'installation du logiciel client, réinstallez le logiciel de pare-feu de bureau original ou configurez le pare-feu qui fait partie du logiciel client. Si vous utilisez un pare-feu de bureau tiers, veillez à le configurer pour qu'il autorise l'activation du tunnel VPN par le trafic et pour que le trafic passe par le tunnel. Contactez votre administrateur réseau pour obtenir des instructions à ce sujet.

Dans la v12.5 et les versions ultérieures, le client VPN WatchGuard pour macOS prend en charge le Mode Sombre pour macOS Mojave et les versions ultérieures.

Sélectionnez un Certificat et Entrez le PIN

Complétez ces étapes uniquement si vous disposez des fichiers cacert.pem et .p12.

Pour configurer le certificat dans le client VPN Windows :

  1. Démarrez le Client Mobile VPN de WatchGuard.
  2. Sélectionnez Configuration > Certificats.
  3. Cliquez sur Ajouter.
  4. Dans l'onglet Certificat utilisateur, sélectionnez depuis un fichier PKS#12 dans la liste déroulante Certificat.

Capture d'écran de la boîte de dialogue Certificats

  1. En regard de la zone de texte Nom du fichier PKS#12, cliquez sur le bouton et parcourez l'arborescence jusqu'à l'emplacement du fichier .p12.
  2. Cliquez sur OK. Cliquez sur Fermer.
  3. Sélectionnez Configuration > Profils.
  4. Sélectionnez le nom de profil. Cliquez sur Modifier.
  5. Cliquez sur Identités.
  6. Dans la liste déroulante Configuration de certificat, sélectionnez la configuration de certificat que vous avez ajoutée.
  7. Sélectionnez Connexion > Entrer PIN.
  8. Cliquez sur OK et retapez le mot de passe.

Pour configurer le certificat dans le client VPN macOS :

  1. Démarrez le Client Mobile VPN de WatchGuard.
  2. Sélectionnez WatchGuard Mobile VPN > Préférences
    La liste des certificats s'affiche.
  3. Cliquez sur « + » pour ajouter un nouveau certificat.
  4. Entrez le nom du certificat.
  5. Dans la liste déroulante Certificat, sélectionnez depuis un fichier PKS#12.
  6. En regard de la zone de texte Nom du fichier PKS#12, cliquez sur le bouton et parcourez l'arborescence jusqu'à l'emplacement du fichier .p12.
  7. Cliquez sur OK.
  8. Fermez la boîte de dialogue Préférences.
  9. Sélectionnez WatchGuard Mobile VPN > Profils.
  10. Sélectionnez le nom de profil. Cliquez sur Modifier.
  11. Cliquez sur Identités.
  12. Dans la liste déroulante Configuration de certificat, sélectionnez la configuration de certificat que vous avez ajoutée.
  13. Cliquez sur OK.
  14. Fermez la boîte de dialogue Profils.
  15. Sélectionnez Connexion > Entrer PIN.
  16. Cliquez sur OK et retapez le mot de passe.

Dans la v12.5 et les versions ultérieures, le client VPN WatchGuard pour macOS prend en charge le Trousseau macOS pour le stockage des certificats. Vous devez d'abord importer le certificat dans le Trousseau macOS. Pour utiliser la clé privée contenue dans le certificat, assurez-vous que le service NCP ncprwsmac peut accéder au répertoire /Library/Application Support/NCP/Secure Client/.

Activer la Licence du Client VPN

Le client Mobile VPN IPSec est livré avec une licence d'évaluation de 30 jours. Pour utiliser le client plus de 30 jours, vous devez activer le logiciel avec une licence. Pour activer votre Client Mobile VPN IPSec, vous devez disposer :

  • D'un Client Mobile VPN de WatchGuard pour Windows v11.3.2 ou ultérieure
    ou le Client WatchGuard Mobile VPN pour macOS
  • D'une connexion active à Internet
  • Du numéro de licence et du numéro de série de votre administrateur
    ou d'un fichier d'initialisation de votre administrateur

Pour activer le client avec le numéro de licence et le numéro de série :

  1. Démarrez le client Mobile VPN de WatchGuard.
  2. En bas de la boîte de dialogue, cliquez sur Activation.
    La boîte de dialogue Données de Licence s'affiche. L'état d'Activation indique que le client n'est pas activé.
  3. Cliquez sur Activation pour démarrer l'assistant Software Activation Wizard.
    Ce bouton est uniquement disponible si le client n'a pas encore été activé.
  4. Sélectionnez Activation en Ligne.
  5. Cliquez sur Suivant.
    L'écran Données de Licence apparait.

Capture d'écran de l'assistant Software Activation Wizard, écran Données de Licence

  1. Entrez la Clé de licence et le Numéro de série du client VPN.
  2. Cliquez sur Suivant.
    L'écran Connexion à Internet apparait.
  3. Assurez-vous que votre ordinateur dispose d'une connexion active à Internet.
    Si votre ordinateur dispose déjà d'une connexion à Internet, passez cette étape.

Capture d'écran de l'assistant Software Activation Wizard, écran Connexion à Internet

Dans le client Windows, l'assistant Software Activation Wizard propose deux options pour vous connecter à Internet :

  • Pour utiliser un profil de client VPN existant pour vous connecter à Internet, cochez la case Établir une connexion à Internet en utilisant une entrée de profil. Dans la liste déroulante Profil, sélectionnez le profil à utiliser.
  • Pour vous connecter à Internet via un serveur proxy, cliquez sur Paramètres de Proxy. Sélectionnez les paramètres de votre serveur proxy.
  1. Cliquez sur Suivant.
    L'assistant procède à votre activation en ligne et vous avertit une fois l'activation réussie.
  2. Cliquez sur Terminer pour quitter le Wizard.
    Le numéro de série que vous avez activé apparait dans la boîte de dialogue des Données de Licence et l'état d'Activation est OK.
  3. Cliquez sur Fermer pour fermer la boîte de dialogue Données de Licence.

Pour activer le client avec un Fichier d'Initialisation :

  1. Démarrez le client Mobile VPN de WatchGuard.
  2. En bas de la boîte de dialogue, cliquez sur Activation.
    La boîte de dialogue Données de Licence s'affiche. L'état d'Activation indique que le client n'est pas activé.
  3. Cliquez sur Activation pour démarrer l'assistant Software Activation Wizard.
    Ce bouton est uniquement disponible si le client n'a pas encore été activé.
  4. Sélectionnez Activation utilisant un Fichier d'Initialisation.
  5. Cliquez sur Suivant.
    L'écran Fichier d'Initialisation apparait.
  6. Recherchez le Fichier d'Initialisation.
  7. Cliquez sur Suivant.
    Le fichier d'initialisation est importé et la licence du client est activée.

Connecter et déconnecter le Client Mobile VPN

Connectez-vous à Internet par le biais d'un accès réseau à distance ou d'une connexion à un réseau local (LAN). Suivez ensuite les instructions ci-dessous pour sélectionner votre profil, vous connecter et vous déconnecter.

Pour sélectionner votre profil dans le client Mobile VPN de WatchGuard :

  1. Démarrez le Client Mobile VPN de WatchGuard.
  2. Dans la liste déroulante Profil, sélectionnez le nom du profil que vous avez importé.

Capture d'écran de la boîte de dialogue WatchGuard Mobile VPN.

  1. Cliquez sur Icône curseur Connecter ou déconnecter pour vous connecter.

Pour déconnecter le client Mobile VPN :

  1. Restaurez le Mobile VPN Monitor.
  2. Cliquez sur l'icône curseur connecter ou déconnecter pour vous déconnecter.

Vous pouvez également sélectionner Déconnecter dans le menu d'icônes Mobile VPN de la barre d'état système Windows ou de la barre de menu macOS.

Icône du Client Mobile VPN de WatchGuard

L'icône du client WatchGuard Mobile VPN s'affiche dans la barre d'état système (Windows) ou la barre de menu (macOS). La couleur de l'icône indique l'état de la connexion VPN.

  • Rouge — le VPN n'est pas connecté
  • Jaune — le client VPN tente de se connecter
  • Vert — le VPN est connecté
  • Clignotement jaune et vert — le VPN est toujours actif logiquement suite à une déconnexion physique

Sur un ordinateur Windows, vous pouvez effectuer un clic-droit sur l'icône de la barre d'état système pour reconnecter et déconnecter votre Mobile VPN et connaître le profil utilisé.

Capture d'écran de l'icône du client Mobile VPN with IPSec dans la barre d'état système

Sur un ordinateur macOS, l'icône du client VPN ne s'affiche pas automatiquement de la barre de menus. Pour faire apparaitre l'icône dans la barre de menu, dans le Client Mobile VPN, sélectionnez WatchGuard Mobile VPN > Afficher le client VPN monitor dans la barre de menu.

Cliquez sur l'icône dans la barre de menu pour afficher l'état de la connexion VPN.

Via l'icône de la barre de menu, vous pouvez :

  • Connecter ou déconnecter le VPN
  • Sélectionner le profil à utiliser
  • Voir les informations de connexion et un fichier journal local
  • Démarrer le client VPN monitor en tant qu'application (cette action supprime l'icône de la barre de barre de menu)
  • Quitter le Client Mobile VPN de WatchGuard.

Contrôler le Comportement de Connexion

Le comportement de connexion contrôle l'action entreprise par le logiciel client Mobile VPN IPSec lorsque le tunnel VPN est indisponible pour une raison quelconque. Par défaut, vous devez vous reconnecter manuellement. Vous ne devez pas modifier le comportement de connexion, mais vous pouvez configurer le client pour qu'il se reconnecte automatiquement ou de façon variable. Contactez votre administrateur réseau pour vous renseigner sur les paramètres recommandés.

Si vous importez un fichier .ini pour configurer le client VPN, ne modifiez aucun des paramètres de Gestion de Ligne. Le fichier .ini configure ces paramètres pour vous.

Pour définir le comportement du client Mobile VPN en cas d'inaccessibilité du tunnel VPN :

  1. Sur Windows, dans le client Windows Mobile VPN de WatchGuard , sélectionnez Configuration > Profils. Ou, sur un ordinateur macOS, dans le client WatchGuard Mobile VPN, sélectionnez Client WatchGuard Mobile VPN > Profils.
  2. Sélectionnez le nom du profil et cliquez sur Modifier.

Capture d'écran de la boîte de dialogue des paramètres des Profils

  1. Depuis le volet de gauche, sélectionnez Line Management.

Capture d'écran de la boîte de dialogue des paramètres de profil, paramètres de Line management

  1. Dans la liste déroulante Mode de connexion, sélectionnez le mode de connexion pour ce profil.

Les modes de connexion disponibles sont les suivants :

manuel

En mode manuel, vous devez démarrer le tunnel VPN manuellement. Le client ne tente pas de redémarrer le tunnel VPN automatiquement si le tunnel VPN se déconnecte. Pour démarrer le tunnel VPN, cliquez sur Connecter dans le client Mobile VPN ou faites un clic-droit sur l'icône Mobile VPN de la barre d'outils de votre bureau Windows et cliquez sur Connecter.

automatique (connexion initiée par transfert de données)

En mode automatique, le client essaie de démarrer automatiquement la connexion lorsque votre ordinateur envoie des données à un hôte distant via le tunnel VPN. Si le tunnel VPN se déconnecte, le client tente automatiquement de le redémarrer lorsqu'une application de l'ordinateur client envoie des données à un hôte distant.

toujours connecté

En mode toujours connecté, le client démarre automatiquement la connexion VPN lorsque vous démarrez le client. La connexion est établie indépendamment du bouton Connecter, du trafic transitant par le tunnel ou des paramètres d'affichage du moniteur VPN.

variable (« Connexion » démarre le mode « automatique »)

Dans ce mode, cliquez sur Connexion pour démarrer le tunnel VPN manuellement la première fois. Après avoir démarré le tunnel, il s'exécute en mode automatique jusqu'à ce que vous cliquiez sur Déconnecter. Si le tunnel VPN est déconnecté avant que vous ne cliquiez sur Déconnecter, le client essaie automatiquement de redémarrer le tunnel VPN lorsqu'une application de l'ordinateur client commence à envoyer des données à un hôte distant.

variable (« Connexion » démarre le mode « toujours connecté »)

Dans ce mode, cliquez sur Connexion pour démarrer le tunnel VPN manuellement la première fois. Après avoir démarré le tunnel, il s'exécute en mode toujours connecté, comme décrit précédemment. Le client continuera à utiliser le mode toujours connecté jusqu'à ce que vous le fermiez.

  1. Dans la zone de texte Délai d'inactivité, spécifiez le délai en secondes que le client VPN doit attendre avant de se déconnecter automatiquement après la dernière transmission de données via le tunnel. Si vous définissez le paramètre de Délai d'inactivité à 0, le client VPN ne déconnectera pas automatiquement un tunnel établi après une période d'inactivité.

Pour plus d'informations concernant les autres paramètres de gestion de ligne, cliquez sur Aide dans le Client Mobile VPN de WatchGuard.

Autres Paramètres de Configuration

Pour de plus amples informations concernant les autres paramètres du client, cliquez sur Aide dans le Client WatchGuard Mobile VPN.