Configurer les Périphériques Windows pour Mobile VPN with IKEv2

Vous pouvez configurer le client VPN IKEv2 natif sur les périphériques Windows pour une connexion VPN à votre Firebox. Pour ajouter la connexion VPN sur votre périphérique, vous pouvez utiliser le script de configuration automatique WatchGuard ou configurer manuellement les paramètres sur le périphérique.

Pour installer le certificat d'Autorité de Certification, vous devez disposer des droits d'Administrateur sur votre périphérique Windows. Le script de configuration WatchGuard demande automatiquement les droits d'Administrateur pour installer le certificat d'Autorité de Certification nécessaire à la nouvelle connexion VPN IKEv2.

Les clients IKEv2 mobiles n'héritent pas du suffixe de domaine du Firebox. Pour configurer manuellement un suffixe de domaine sous Windows, consultez la section Configurer les paramètres de suffixe et serveur DNS des clients VPN IKEv2 et L2TP de la Base de Connaissances WatchGuard.

Mobile VPN with IKEv2 est pris en charge sur les Fireboxes exécutant Fireware v12.1 et les versions ultérieures.

Pour configurer les connexions VPN de pré-ouverture de session pour les utilisateurs Windows, consultez Comment puis-je créer et déployer des profils VPN IKEv2 et L2TP personnalisés pour les ordinateurs Windows ? dans la Base de Connaissances WatchGuard.

Pour obtenir des informations concernant les systèmes d'exploitation compatibles avec chaque type de Mobile VPN, consultez la liste de Compatibilité des Systèmes d'Exploitation des Notes de Publication Fireware. Vous trouverez les Notes de Publication de la version de votre système d'exploitation Fireware OS à la page Notes de Publication Fireware du site Web de WatchGuard.

WatchGuard fournit des instructions d'interopérabilité pour aider nos clients à configurer des produits WatchGuard afin qu'ils fonctionnent avec des produits créés par d'autres organisations. Si vous avez besoin de plus d'informations ou d'un support technique concernant la configuration d'un produit autre que WatchGuard, consultez la documentation et les ressources de support de ce produit.

Configurer Automatiquement les Paramètres VPN

Pour configurer une connexion VPN à l'aide du script de configuration automatique WatchGuard, vous devez télécharger un fichier compressé .TGZ sur le Firebox. Ce fichier contient les instructions et les scripts de configuration destinés à différents systèmes d'exploitation. Pour de plus amples informations concernant le téléchargement de ce fichier, consultez la section Configurer les Périphériques Clients pour Mobile VPN with IKEv2.

Le script de configuration automatique crée une nouvelle connexion VPN IKEv2. Le script configure la connexion en route par défaut (tunnel complet), ce qui signifie que tout le trafic est envoyé par la connexion VPN. Le script de configuration installe également le certificat d'Autorité de Certification nécessaire à la connexion VPN. Pour plus d'informations sur les connexions VPN en route par défaut et en tunneling fractionné, consultez Accès à Internet Via un Tunnel Mobile VPN with IKEv2.

Pour ajouter automatiquement une nouvelle connexion VPN IKEv2 sous Windows :

  1. Téléchargez ou copiez le dossier Windows_8.1_10 sur votre périphérique. Ce dossier contient le fichier de configuration automatique ainsi que le certificat d'Autorité de Certification nécessaire.
  2. Dans le dossier Windows_8.1_10, double-cliquez sur le fichier .bat.
  3. Si une boîte de dialogue Contrôle de Compte d'Utilisateur s'affiche, sélectionnez Oui.
    Deux fenêtres PowerShell s'ouvrent, dont une se ferme automatiquement.
  4. Si votre compte ne dispose pas des permissions d'Administrateur, spécifiez les informations d'identification d'Administrateur lorsque vous y êtes invité. L'option Exécuter en tant qu'Administrateur n'est pas prise en charge.
  5. Dans la fenêtre PowerShell ouverte, appuyez sur n'importe quelle touche pour continuer. L'installation est terminée.
  6. Pour rechercher la nouvelle connexion VPN, sélectionnez Paramètres > Réseau & Internet > VPN.
  7. Pour vous connecter au VPN, cliquez sur la connexion VPN que vous avez ajoutée puis sur Connecter.

Sur les ordinateurs exécutant Windows 7, vous devez configurer manuellement la connexion VPN. Le script de configuration automatique n'est pas pris en charge. Pour de plus amples informations, consultez la section Configurer les Périphériques Windows 7 pour Mobile VPN with IKEv2 de la Base de Connaissances WatchGuard.

Configurer Manuellement les Paramètres VPN

Pour ajouter manuellement une nouvelle connexion VPN IKEv2 sous Windows 10 :

  1. Dans le dossier Windows_8.1_10, faites un clic droit sur le fichier rootca.crt.
  2. Cliquez sur Installer le Certificat.
    L'assistant Certificate Import Wizard apparaît.
  3. Sélectionnez l'emplacement de stockage Machine Locale puis cliquez sur Suivant.
  4. Si une boîte de dialogue Contrôle de Compte d'Utilisateur s'affiche pour vous demander d'autoriser cette application à apporter des modifications à votre périphérique, sélectionnez Oui.
  5. Sélectionnez Placer tous les certificats dans le magasin suivant.
  6. Cliquez sur Parcourir.
  7. Dans la liste Sélectionner un Magasin de Certificats, sélectionnez Autorités de Certification Racines de Confiance.
  8. Cliquez sur OK > Suivant > Terminer.
  9. Si une boîte de dialogue Avertissement de Sécurité s'ouvre et vous demande si vous souhaitez installer le certificat, sélectionnez Oui.
  10. Cliquez sur le bouton Démarrer puis sélectionnez Paramètres > Réseau et Internet > VPN.
  11. Cliquez sur Ajouter une connexion VPN.
  12. Spécifiez les paramètres suivants :
  • Fournisseur VPN: Windows (intégré)
  • Nom de la connexion : [Nom descriptif tel que VPN IKEv2 de MonEntreprise]
  • Nom ou adresse du serveur : [Nom d'hôte ou adresse IP de votre Firebox]
  • Type de VPN: IKEv2
  • Type d'informations de connexion: Nom d'utilisateur et mot de passe
  • (Facultatif) Pour enregistrer votre nom d'utilisateur et mot de passe, spécifiez ces informations d'identification maintenant. Si la configuration Mobile VPN with IKEv2 sur le Firebox inclut plusieurs serveurs d'authentification et que vous souhaitez vous authentifier auprès d'un serveur d'authentification qui n'est pas le serveur d'authentification par défaut, spécifiez un nom de serveur d'authentification avant le nom d'utilisateur. Par exemple, spécifiez RADIUS\jsmith. Pour plus d'informations sur le format du nom d'utilisateur, consultez la section Format du Nom d'Utilisateur.
  1. Cliquez sur Enregistrer.

Pour ajouter manuellement une nouvelle connexion VPN IKEv2 sous Windows 8.1 :

  1. Dans le dossier Windows_8.1_10, faites un clic droit sur le fichier rootca.crt.
  2. Cliquez sur Installer le Certificat.
    L'assistant Certificate Import Wizard apparaît.
  3. Sélectionnez l'emplacement de stockage Machine Locale puis cliquez sur Suivant.
  4. Si une boîte de dialogue Contrôle de Compte d'Utilisateur s'affiche pour vous demander d'autoriser cette application à apporter des modifications à votre périphérique, sélectionnez Oui.
  5. Sélectionnez Placer tous les certificats dans le magasin suivant.
  6. Cliquez sur Parcourir.
  7. Dans la liste Sélectionner un Magasin de Certificats, sélectionnez Autorités de Certification Racines de Confiance.
  8. Cliquez sur OK > Suivant > Terminer.
  9. Si une boîte de dialogue Avertissement de Sécurité s'ouvre et vous demande si vous souhaitez installer le certificat, sélectionnez Oui.
  10. Cliquez sur le bouton Démarrer puis sélectionnez Paramètres du PC > Réseau > VPN.
  11. Cliquez sur Ajouter une connexion VPN.
  12. Spécifiez les paramètres suivants :
  • Fournisseur VPN : Microsoft
  • Nom de la connexion : [Nom descriptif tel que VPN IKEv2 de MonEntreprise]
  • Nom ou adresse du serveur : [Nom d'hôte ou adresse IP de votre Firebox]
  • (Facultatif) Type d'informations de connexion : Nom d'utilisateur et mot de passe
  • (Facultatif) Pour enregistrer votre nom d'utilisateur et mot de passe, spécifiez ces informations d'identification maintenant. Si la configuration Mobile VPN with IKEv2 sur le Firebox inclut plusieurs serveurs d'authentification et que vous souhaitez vous authentifier auprès d'un serveur d'authentification qui n'est pas le serveur d'authentification par défaut, spécifiez un nom de serveur d'authentification avant le nom d'utilisateur. Par exemple, spécifiez RADIUS\jsmith. Pour plus d'informations sur le format du nom d'utilisateur, consultez la section Format du Nom d'Utilisateur.
  1. Cliquez sur Enregistrer.
  2. Pour ouvrir la page Paramètres du PC, cliquez deux fois sur le bouton Précédent.
  3. Cliquez sur Panneau de Configuration > Réseau et Internet > Centre Réseau et Partage > Modifier les Paramètres de l'Adaptateur.
  4. Faites un clic droit sur l'adaptateur VPN que vous avez ajouté puis cliquez sur Propriétés.
  5. Dans l'onglet Sécurité, dans la liste Type de VPN, sélectionnez IKEv2 puis cliquez sur OK.
  6. Dans la liste déroulante Chiffrement des données, sélectionnez Exiger le chiffrement.
  7. Dans la section Authentification, sélectionnez Utiliser Extensible Authentication Protocol (EAP).
  8. Dans la liste déroulante, sélectionnez l'option EAP-MSCHAP v2 puis cliquez sur OK.
  9. Dans la barre d'état système Windows, cliquez sur l'icône Accès à Internet.
  10. Pour vous connecter au VPN, cliquez sur la connexion VPN que vous avez ajoutée puis sur Connecter.

Si vous configurez manuellement le client, nous vous recommandons de configurer un VPN en route par défaut (tunnel complet). Sur Windows 10, vous devrez peut-être modifier les propriétés de l'adaptateur IPv4 pour la connexion VPN IKEv2 afin que l'option Utiliser la passerelle par défaut sur le réseau distant soit sélectionnée. Il s'agit de l'option de route par défaut (tunnel complet).

Format du Nom d'Utilisateur

Le format du Nom d'utilisateur dépend du serveur d'authentification auquel l'utilisateur s'authentifie :

  • Si la configuration du Firebox inclut plusieurs serveurs d'authentification et que vous souhaitez vous authentifier auprès d'un serveur d'authentification qui n'est pas le serveur d'authentification par défaut, vous devez spécifier le serveur d'authentification dans la zone de texte Nom d'utilisateur.
  • Si la configuration du Firebox inclut plusieurs serveurs d'authentification et que vous souhaitez vous authentifier auprès du serveur d'authentification par défaut, vous n'avez pas besoin de spécifier le serveur d'authentification dans la zone de texte Nom d'utilisateur.

Par exemple, le Nom d'utilisateur doit être dans l'un des formats suivants :

Pour utiliser le serveur d'authentification par défaut

Saisissez le nom d'utilisateur. Exemple : jsmith

Pour utiliser un autre serveur d'authentification

Saisissez le nom ou nom de domaine du serveur d'authentification, puis entrez une barre oblique inverse (\) suivie du nom d'utilisateur. Exemples :

Firebox-DBFirebox-DB\jsmith

AuthPoint (Fireware v12.7 ou les versions ultérieures) — authpoint\jsmith

RADIUS (Fireware v12.5 ou les versions ultérieures) — rad1.example.com\j_smith ou RADIUS\j_smith. Vous devez saisir le nom de domaine spécifié dans les paramètres RADIUS du Firebox.

RADIUS (Fireware v12.4.1 ou les versions antérieures) — RADIUS\j_smith. Vous devez toujours saisir RADIUS.

Capture d'écran des paramètres du client Windows IKEv2

Si votre configuration comprend un serveur RADIUS et que vous effectuez une mise à niveau depuis Fireware v12.4.1 ou version antérieure vers Fireware v12.5 ou version ultérieure, le Firebox utilise automatiquement RADIUS comme nom de domaine pour ce serveur. Pour vous authentifier auprès de ce serveur, vous devez spécifier RADIUS comme nom de domaine.

Voir Également

À propos de Mobile VPN with IKEv2

Configurer les Périphériques Client pour Mobile VPN with IKEv2

Configurer les Périphériques iOS et macOS pour Mobile VPN with IKEv2

Configurer les Périphériques Android pour Mobile VPN with IKEv2

Accès à Internet Via un Tunnel Mobile VPN with IKEv2

Dépanner Mobile VPN with IKEv2