À propos des Stratégies IKEv2
Lorsque vous configurez un mobile VPN, le Firebox crée automatiquement deux types de stratégies :
Stratégie de connexion
La stratégie de connexion autorise le VPN à s'établir. Pour Mobile VPN with IKEv2, la stratégie de connexion se nomme Autoriser-IKE-vers-Firebox. Cette stratégie est masquée et ne s'affiche donc pas dans la liste des stratégies du Firebox.
Dans les paramètres VPN globaux, le paramètre Activer la stratégie IPSec intégrée contrôle cette stratégie. Ne désélectionnez pas la case à cocher Activer la stratégie IPSec intégrée. Pour de plus amples informations concernant les paramètres VPN globaux, consultez la section À propos des Paramètres VPN globaux.
Stratégie d'accès
La stratégie d'accès autorise les groupes et les utilisateurs Mobile VPN with IKEv2 à accéder aux ressources de votre réseau. Pour Mobile VPN with IKEv2, la stratégie d'accès se nomme Autoriser les Utilisateurs-IKEv2.
Par défaut, la stratégie Autoriser les Utilisateurs-IKEv2 autorise les utilisateurs à accéder à toutes les ressources réseau. En effet, la liste À de la stratégie Autoriser les Utilisateurs-IKEv2 comprend uniquement l'alias Tout.
Seul le groupe Utilisateurs-IKEv2 s'affiche dans la liste De de la stratégie Autoriser les Utilisateurs-IKEv2. Le groupe Utilisateurs-IKEv2 comprend tous les utilisateurs et les groupes que vous ajoutez à la configuration Mobile VPN with IKEv2. Les utilisateurs et les groupes que vous ajoutez à la configuration Mobile VPN with IKEv2 ne figurent pas dans la liste De de la stratégie Autoriser les Utilisateurs-IKEv2. Cependant, la stratégie continue à s'appliquer à ces utilisateurs et ces groupes.
Groupes d'Authentification et Stratégies IKEv2
Il est important de comprendre que les stratégies du Firebox contrôlent les ressources auxquelles les utilisateurs mobile VPN peuvent accéder. Les VPN ne sont pas considérés comme membre des zones Approuvées ou Facultatives. Lorsque les utilisateurs se connectent au VPN, ils ne sont pas considérés comme utilisateurs approuvés sur le réseau local.
Cela signifie que les stratégies du Firebox comprenant les alias Approuvé ou Facultatif dans la liste De ne s'appliquent pas au trafic des utilisateurs mobile VPN, à moins que vous n'ajoutiez des groupes ou des utilisateurs mobile VPN à ces stratégies. Vous pouvez également créer de nouvelles stratégies pour le trafic des groupes et des utilisateurs mobile VPN.
À titre d'exemple, cette stratégie ne s'applique pas au trafic des utilisateurs Mobile VPN with IKEv2, car la liste De comprend uniquement l'alias Tout-Approuvé :
Cette stratégie s'applique au trafic des utilisateurs Mobile VPN with IKEv2, car la liste De comprend un groupe d'utilisateurs Mobile VPN with IKEv2 :
Cette stratégie s'applique également au trafic des utilisateurs Mobile VPN with IKEv2, car le groupe d'utilisateurs RADIUS TestGroup1 est spécifié dans la configuration Mobile VPN with IKEv2 :
Accordez une attention particulière aux groupes d'utilisateurs que vous ajoutez aux stratégies du Firebox. À titre d'exemple, si vous ajoutez des groupes d'utilisateurs RADIUS à la configuration d'authentification sur votre Firebox et que vous ajoutez ces mêmes groupes à la configuration Mobile VPN with IKEv2, envisagez d'ajouter les groupes RADIUS aux stratégies Firebox au lieu du groupe Utilisateurs-IKEv2. Le groupe Utilisateurs-IKEv2 comprend l'ensemble des groupes et des utilisateurs que vous ajoutez à la configuration Mobile VPN with IKEv2. Si vous ajoutez le groupe Utilisateurs-IKEv2 à une stratégie Firebox, tous les utilisateurs mobiles ont accès aux ressources spécifiées dans cette stratégie, ce qui ne correspond pas nécessairement au but recherché.
Les pools d'adresses IP virtuelles n'influent pas sur le fait que les utilisateurs VPN soient ou non considérés comme des utilisateurs approuvés sur le réseau local. À titre d'exemple, si vous spécifiez un pool d'adresses IP pour Mobile VPN with IKEv2 qui chevauche la plage d'adresses IP de votre réseau local, les utilisateurs mobile VPN ne sont toujours pas considérés comme utilisateurs approuvés sur le réseau local.
Meilleures Pratiques relatives aux Stratégies IKEv2
Nous vous recommandons de limiter les ressources réseau auxquelles les utilisateurs Mobile VPN with IKEv2 peuvent accéder via le VPN. Pour ce faire, vous pouvez remplacer la stratégie Autoriser les Utilisateurs-IKEv2.
Pour remplacer la stratégie Autoriser les Utilisateurs-IKEv2 :
- Déterminez les ports et les protocoles dont vos utilisateurs ont besoin. Afin de les déterminer, évaluez votre réseau à l'aide de tests de base et consultez les journaux.
- Ajoutez les groupes et les utilisateurs Mobile VPN with IKEv2 aux stratégies existantes du Firebox spécifiant ces ports et ces protocoles. À titre d'exemple, vous pouvez ajouter les groupes et les utilisateurs Mobile VPN with IKEv2 aux stratégies de trafic web.
- Si nécessaire, ajoutez de nouvelles stratégies :
- Lorsque vous sélectionnez le type de stratégie de la nouvelle stratégie, vous pouvez spécifier un protocole et un port.
- Dans la liste De de la stratégie, spécifiez les utilisateurs ou les groupes. Vous devez spécifier les groupes ou les utilisateurs auxquels la configuration Mobile VPN with IKEv2 doit être appliquée. À titre d'exemple, vous pouvez spécifier le groupe Utilisateurs-IKEv2 par défaut. Vous pouvez également spécifier les groupes et les utilisateurs que vous avez ajoutés à la configuration Mobile VPN with IKEv2.
- Dans la liste À de la stratégie, supprimez l'alias Tout et ajoutez d'autres destinations.
- Avant de désactiver la stratégie Autoriser les Utilisateurs-IKEv2, vérifiez que vos stratégies permettent aux utilisateurs Mobile VPN with IKEv2 d'accéder à toutes les ressources réseau requises.
- Désactivez la stratégie Autoriser les Utilisateurs-IKEv2.
Voir Également
Modifier la Configuration Mobile VPN with IKEv2
À propos de l'Authentification des Utilisateurs Mobile VPN with IKEv2