Accès à Internet Via un Tunnel Mobile VPN with IKEv2

Il y a deux manières pour un client Mobile VPN IKEv2 d'acheminer le trafic vers Internet pour les utilisateurs Mobile VPN :

Route par défaut (tunnel complet)

La route par défaut est la solution la plus sécurisée, car elle dirige l'ensemble du trafic Internet des utilisateurs distants vers le Firebox via le tunnel VPN. Le trafic est ensuite renvoyé à Internet. Dans cette configuration, le Firebox peut examiner tout le trafic et offrir une sécurité accrue. Sachez toutefois que cette option nécessite plus de puissance de traitement et de bande passante.

La route par défaut est l'option par défaut pour tous les types de Mobile VPN sur le Firebox.

Tunneling fractionné

Le Firebox prend en charge les connexions des clients Mobile VPN with IKEv2 configurés pour le tunneling fractionné. Cependant, vous devez configurer manuellement les clients IKEv2 pour le tunneling fractionné. Par exemple, vous devez ajouter manuellement des routes sur l'ordinateur client pour chaque réseau distant auquel vous souhaitez accéder. Nous ne fournissons pas d'assistance client pour les configurations de tunnel fractionné sur les clients IKEv2. Consultez la documentation fournie par votre fournisseur de client VPN.

Si vous avez besoin d'un tunneling fractionné, nous vous recommandons d'utiliser Mobile VPN with SSL. Pour plus d'informations sur Mobile VPN with SSL et le tunneling fractionné, consultez Options pour l'accès à internet par le biais d'un tunnel Mobile VPN with SSL.

Configuration du Firebox

Votre Firebox doit être configuré avec la traduction d'adresses réseau (NAT) dynamique de manière à recevoir le trafic d'un utilisateur IKEv2. Toute stratégie gérant le trafic en amont du Firebox et destinée à Internet doit être configurée de manière à autoriser le trafic utilisateur IKEv2.

Lorsque vous configurez votre route VPN par défaut :

  • Vérifiez que les adresses IP que vous avez ajoutées au pool d'adresses IKEv2 figurent dans votre configuration NAT dynamique sur le Firebox. Les utilisateurs distants peuvent ainsi naviguer sur Internet lorsqu'ils envoient tout leur trafic au Firebox.
    Dans Policy Manager, sélectionnez Réseau > NAT.
  • Modifiez la configuration de votre stratégie de manière à autoriser les connexions du groupe IKEv2-Utilisateurs via l'interface externe.
    Par exemple, si vous utilisez WebBlocker pour contrôler l'accès à internet, ajoutez le groupe IKEv2-Utilisateurs à la stratégie de proxy configurée avec WebBlocker activé.

Configuration du Client

Pour configurer le client, nous vous recommandons de télécharger les fichiers de configuration de client IKEv2 depuis le Firebox. Pour plus d'informations sur les fichiers de configuration du client, consultez Configurer les Périphériques Client pour Mobile VPN with IKEv2.

Si vous configurez manuellement le client, nous vous recommandons de configurer les clients IKEv2 pour un VPN à route par défaut (tunnel complet) :

  • Windows 10 — Dans les propriétés de l'adaptateur IPv4 pour la connexion VPN IKEv2, vérifiez que l'option Utiliser la passerelle par défaut sur le réseau distant est sélectionnée. Il s'agit de l'option de route par défaut (tunnel complet).
  • Windows 8.1 — Conservez le paramètre par défaut, qui est route par défaut.
  • macOS — Conservez le paramètre par défaut, qui est route par défaut.

Il est impossible de configurer ce paramètre dans les systèmes d'exploitation mobiles.

WatchGuard fournit des instructions d'interopérabilité pour aider nos clients à configurer des produits WatchGuard afin qu'ils fonctionnent avec des produits créés par d'autres organisations. Si vous avez besoin de plus d'informations ou d'un support technique concernant la configuration d'un produit autre que WatchGuard, consultez la documentation et les ressources de support de ce produit.

Activer la route par défaut (tunnel complet) dans Windows

  1. Sous Windows 8.1 ou Windows 10, recherchez le Centre Réseau et Partage.
  2. Cliquez sur Modifier les Paramètres de la Carte.
  3. Faites un clic droit sur le nom de la connexion VPN.
  4. Cliquez sur Propriétés.
    La boîte de dialogue Propriétés de la Connexion VPN s'affiche.
  5. Sélectionnez l'onglet Networking (Gestion de réseau).
  6. Sélectionnez Protocole Internet Version 4 (TCP/IPv4) dans la liste et cliquez sur Propriétés.
  7. Dans l'onglet Général, cliquez sur Avancé.
    La boîte de dialogue Paramètres TCP/IP avancés apparaît.
  8. Dans l'onglet Paramètres IP, sélectionnez la case Utiliser la passerelle par défaut sur le réseau distant.
  1. Dans la barre de recherche Windows, saisissez powershell.
  2. Dans les résultats de recherche, sélectionnez Windows PowerShell.
    La fenêtre de l'interface de commande PowerShell apparaît.
  3. Pour voir la liste des VPN, saisissez la commande suivante : get-vpnconnection
    La configuration de tous les VPN Windows disponibles apparait dans la fenêtre PowerShell.
  4. Identifiez le nom de la connexion Mobile VPN que vous souhaitez modifier, par exemple Mon Mobile VPN.
  5. Pour désactiver le tunneling fractionné pour cette connexion VPN et utiliser la route par défaut, saisissez :
    set-vpnconnection -Name "My Mobile VPN" -SplitTunneling $false
  6. Pour quitter PowerShell, saisissez exit.

Voir Également

Ajouter des Règles de Traduction d'Adresses Réseau (NAT) Dynamique

Mobile VPN with IKEv2

Modifier la Configuration Mobile VPN with IKEv2

Dépanner Mobile VPN with IKEv2

Activer la Route par Défaut sous Windows 7 dans la Base de Connaissances WatchGuard