À propos des Stratégies de L2TP
Lorsque vous configurez un mobile VPN, le Firebox crée automatiquement deux types de stratégies :
Stratégie de connexion
La stratégie de connexion autorise le VPN à s'établir. Mobile VPN with L2TP possède deux stratégies de connexion :
- Autoriser-IKE-vers-Firebox — Cette stratégie est masquée, ce qui signifie qu'elle ne figure pas dans la liste des stratégies du Firebox. Dans les paramètres VPN globaux, le paramètre Activer la stratégie IPSec intégrée contrôle cette stratégie. Ne désélectionnez pas la case à cocher Activer la stratégie IPSec intégrée. Pour de plus amples informations concernant les paramètres VPN globaux, consultez la section À propos des Paramètres VPN globaux.
- WatchGuard L2TP — Cette stratégie autorise le trafic UDP 1701 issu de l'alias L2TP-IPSec vers le Firebox.
Nous vous recommandons de ne pas modifier les stratégies de connexion.
Stratégie d'accès
La stratégie d'accès autorise les groupes et les utilisateurs Mobile VPN with L2TP à accéder aux ressources de votre réseau. Pour Mobile VPN with L2TP, la stratégie d'accès se nomme Autoriser les Utilisateurs-L2TP.
Si vous utilisez un assistant pour activer Mobile VPN with L2TP dans Policy Manager :
- Vous pouvez spécifier les ressources réseau auxquelles les utilisateurs L2TP peuvent accéder. Si vous sélectionnez Autoriser l'accès à toutes les ressources, la liste À de la stratégie Autoriser les utilisateurs L2TP comprend uniquement l'alias Tout. Cela signifie que les utilisateurs peuvent accéder à toutes les ressources réseau.
- Si vous sélectionnez Limiter l'accès aux ressources spécifiées ci-dessous, la liste À de la stratégie Autoriser les utilisateurs L2TP comprend uniquement les ressources que vous avez spécifiées.
Si vous utilisez un assistant pour activer Mobile VPN with L2TP dans Fireware Web UI, l'option permettant de spécifier les ressources réseau ne s'affiche pas. Par défaut, la stratégie Autoriser les utilisateurs L2TP autorise les utilisateurs à accéder à toutes les ressources réseau.
Après avoir complété l'assistant dans Policy Manager ou Fireware Web UI, vous pouvez modifier la stratégie Autoriser les Utilisateurs-L2TP de manière à modifier les ressources autorisées.
Seul le groupe Utilisateurs-L2TP s'affiche dans la liste De de la stratégie Autoriser les Utilisateurs-L2TP. Le groupe Utilisateurs-L2TP comprend tous les utilisateurs et les groupes que vous ajoutez à la configuration Mobile VPN with L2TP. Les utilisateurs et les groupes que vous ajoutez à la configuration Mobile VPN with L2TP ne figurent pas dans la liste De de la stratégie Autoriser les Utilisateurs-L2TP. Cependant, la stratégie continue à s'appliquer à ces utilisateurs et ces groupes.
Groupes d'Authentification et Stratégies L2TP
Il est important de comprendre que les stratégies du Firebox contrôlent les ressources auxquelles les utilisateurs mobile VPN peuvent accéder. Les VPN ne sont pas considérés comme membre des zones Approuvées ou Facultatives. Lorsque les utilisateurs se connectent au VPN, ils ne sont pas considérés comme utilisateurs approuvés sur le réseau local.
Cela signifie que les stratégies du Firebox comprenant les alias Approuvé ou Facultatif dans la liste De ne s'appliquent pas au trafic des utilisateurs mobile VPN, à moins que vous n'ajoutiez des groupes ou des utilisateurs mobile VPN à ces stratégies. Vous pouvez également créer de nouvelles stratégies pour le trafic des groupes et des utilisateurs mobile VPN.
À titre d'exemple, cette stratégie ne s'applique pas au trafic des utilisateurs Mobile VPN with L2TP, car la liste De comprend uniquement l'alias Tout-Approuvé:
Cette stratégie s'applique au trafic des utilisateurs Mobile VPN with L2TP, car la liste De comprend un groupe d'utilisateurs Mobile VPN with L2TP :
Cette stratégie s'applique également au trafic des utilisateurs Mobile VPN with L2TP, car le groupe d'utilisateurs RADIUS TestGroup1 est spécifié dans la configuration Mobile VPN with L2TP :
Accordez une attention particulière aux groupes d'utilisateurs que vous ajoutez aux stratégies du Firebox. À titre d'exemple, si vous ajoutez des groupes d'utilisateurs RADIUS à la configuration d'authentification sur votre Firebox et que vous ajoutez ces mêmes groupes à la configuration Mobile VPN with L2TP, envisagez d'ajouter les groupes RADIUS aux stratégies Firebox au lieu du groupe Utilisateurs-L2TP. Le groupe Utilisateurs-L2TP comprend l'ensemble des groupes et des utilisateurs que vous ajoutez à la configuration Mobile VPN with L2TP. Si vous ajoutez le groupe Utilisateurs-L2TP à une stratégie Firebox, tous les utilisateurs mobiles ont accès aux ressources spécifiées dans cette stratégie, ce qui ne correspond pas nécessairement au but recherché.
Les pools d'adresses IP virtuelles n'influent pas sur le fait que les utilisateurs VPN soient ou non considérés comme des utilisateurs approuvés sur le réseau local. À titre d'exemple, si vous spécifiez un pool d'adresses IP pour Mobile VPN with L2TP qui chevauche la plage d'adresses IP de votre réseau local, les utilisateurs mobile VPN ne sont toujours pas considérés comme utilisateurs approuvés sur le réseau local.
Meilleures Pratiques relatives aux Stratégies L2TP
Nous vous recommandons de limiter les ressources réseau auxquelles les utilisateurs Mobile VPN with L2TP peuvent accéder via le VPN. Pour ce faire, vous pouvez remplacer la stratégie Autoriser les Utilisateurs-L2TP.
Pour remplacer la stratégie Autoriser les Utilisateurs-L2TP :
- Déterminez les ports et les protocoles dont vos utilisateurs ont besoin. Afin de les déterminer, évaluez votre réseau à l'aide de tests de base et consultez les journaux.
- Ajoutez les groupes et les utilisateurs Mobile VPN with L2TP aux stratégies existantes du Firebox spécifiant ces ports et ces protocoles. À titre d'exemple, vous pouvez ajouter les groupes et les utilisateurs Mobile VPN with L2TP aux stratégies de trafic web.
- Si nécessaire, ajoutez de nouvelles stratégies :
- Lorsque vous sélectionnez le type de stratégie de la nouvelle stratégie, vous pouvez spécifier un protocole et un port.
- Dans la liste De de la stratégie, spécifiez les utilisateurs ou les groupes. Vous devez spécifier les groupes ou les utilisateurs auxquels la configuration Mobile VPN with L2TP doit être appliquée. À titre d'exemple, vous pouvez spécifier le groupe Utilisateurs-L2TP par défaut. Vous pouvez également spécifier les groupes et les utilisateurs que vous avez ajoutés à la configuration Mobile VPN with L2TP.
- Dans la liste À de la stratégie, supprimez l'alias Tout et ajoutez d'autres destinations.
- Avant de désactiver la stratégie Autoriser les Utilisateurs-L2TP, vérifiez que vos stratégies permettent aux utilisateurs Mobile VPN with L2TP d'accéder à toutes les ressources réseau requises.
- Désactivez la stratégie Autoriser les Utilisateurs-L2TP.
Voir Également
Modifier la Configuration Mobile VPN with L2TP
À propos de l'Authentification des Utilisateurs Mobile VPN with L2TP