Configurer Manuellement le Firebox pour Mobile VPN with SSL

1. Sélectionnez VPN >Mobile VPN.
2. Pour configurer une nouvelle configuration Mobile VPN with SSL , dans la section SSL , cliquez sur Configurer manuellement.
3. Pour modifier une configuration existante, dans la section SSL , cliquez sur Configurer.
   La page Configuration de Mobile VPN with SSL s'affiche.
4. Cochez la case Activer Mobile VPN with SSL.
5. Dans la zone de texte Principal, entrez une adresse IP publique ou un nom de domaine.
   Il s'agit de l'adresse IP ou du nom de domaine auxquels les clients Mobile VPN with SSL se connectent par défaut. Il peut s'agir d'une adresse IP externe, d'une adresse IP externe secondaire ou d'un réseau local virtuel (VLAN) externe. Pour un périphérique en mode d'insertion, utilisez l'adresse IP attribuée à toutes les interfaces.

Vous n'avez pas besoin de régénérer le certificat VPN SSL si vous modifiez cette adresse IP ultérieurement. Pour plus d'informations sur les certificats, voir Utiliser Mobile VPN with SSL avec un Client OpenVPN.

6. Si votre Firebox dispose de plusieurs adresses externes, dans la zone de texte Sauvegarde, entrez une autre adresse IP publique.
   Il s'agit de l'adresse IP à laquelle le client Mobile VPN with SSL se connecte s'il ne peut pas établir de connexion à l'aide de l'adresse IP principale. Si vous ajoutez une adresse IP secondaire, vérifiez qu'il s'agit d'une adresse IP assignée à un VLAN ou à une interface externe d'un Firebox. Si vous voulez que le client Mobile VPN with SSL utilise une adresse IP secondaire, vous devez également cocher la case Reconnexion automatique après perte de connexion dans les paramètres d'Authentification, tel que décrit dans la section Authentification .

7. Pour configurer les paramètres de mise en réseau et de pool d'adresses IP, consultez la section suivante de cette rubrique.

1. Sélectionnez VPN> Mobile VPN > Démarrer.
2. Dans la section SSL , cliquez sur Configurer manuellement.
   La boîte de dialogue Configuration de Mobile VPN with SSL apparaît.
3. Cochez la case Activer Mobile VPN with SSL.
4. Dans la zone de texte Principal, tapez ou sélectionnez une adresse IP publique ou un nom de domaine. Il s'agit de l'adresse IP ou du nom de domaine auxquels les clients Mobile VPN with SSL se connectent par défaut. Il peut s'agir d'une adresse IP externe, d'une adresse IP externe secondaire ou d'un réseau local virtuel (VLAN) externe. Pour un périphérique en mode d'insertion, utilisez l'adresse IP attribuée à toutes les interfaces.

Vous n'avez pas besoin de régénérer le certificat VPN SSL si vous modifiez cette adresse IP ultérieurement. Pour plus d'informations sur les certificats, voir Utiliser Mobile VPN with SSL avec un Client OpenVPN.

5. Si votre Firebox dispose de plusieurs adresses externes, dans la zone de texte Secours, entrez une autre adresse IP publique.
   Il s'agit de l'adresse IP à laquelle le client Mobile VPN with SSL se connecte s'il ne peut pas établir de connexion à l'aide de l'adresse IP principale. Si vous ajoutez une adresse IP de secours, assurez-vous qu'il s'agisse d'une adresse IP attribuée à une interface externe ou un réseau local virtuel (VLAN) du Firebox. Si vous voulez que le client Mobile VPN with SSL utilise une adresse IP de secours, vous devez également cocher la case Reconnexion automatique après perte de connexion dans les paramètres d'Authentification.

1. Dans la liste déroulante de la section Réseau et pool d'adresses IP, sélectionnez la méthode utilisée par le Firebox pour envoyer le trafic via le tunnel VPN :
   • Sélectionnez Pont Trafic VPN pour créer un pont pour le trafic SSL VPN vers un réseau que vous indiquez. Lorsque vous sélectionnez cette option, vous ne pouvez pas filtrer le trafic entre les utilisateurs VPN SSL et le réseau auquel le trafic VPN SSL est relié par un pont.
   • Sélectionnez Trafic VPN routé pour acheminer le trafic VPN vers les réseaux et ressources indiqués. Il s'agit du paramètre par défaut de tous les Fireboxes.

2. Sélectionnez ou désélectionnez la case à cocher Forcer le trafic client à passer par le tunnel.
   • Pour router par le tunnel tout le trafic du client VPN à destination de votre réseau privé et d'Internet, sélectionnez Forcer tout le trafic client à passer par le tunnel.
     Cette option envoie tout le trafic externe aux stratégies Firebox que vous créez et offre une sécurité constante pour les utilisateurs mobiles. Toutefois, étant donné qu'elle nécessite une puissance de traitement supérieure du Firebox, l'accès aux ressources Internet peut être très lent pour les utilisateurs mobiles.
     Pour savoir comment autoriser les clients à accéder à Internet quand cette option est sélectionnée, consultez Options pour l'accès à internet par le biais d'un tunnel Mobile VPN with SSL.
   • Pour ne faire transiter par le tunnel que le trafic du client VPN à destination de vos réseaux privés, décochez la case Forcer tout le trafic client à passer par le tunnel.
     Cette option offre à vos utilisateurs des vitesses réseau plus élevées en routant uniquement via le Firebox le trafic à destination des ressources du réseau privé. Le reste du trafic Internet ne passe pas par le tunnel et n'est pas concerné par les stratégies de votre Firebox.
     1. Pour permettre l'accès à tous les réseaux internes, sélectionnez Autoriser l'accès à tous les réseaux Approuvés, Facultatifs et Personnalisés.
     2. Pour limiter l'accès des clients Mobile VPN with SSL aux seuls périphériques précisés sur votre réseau privé, cochez la case Spécifier les ressources autorisées. Pour spécifier une ressource autorisée, entrez l'adresse IP de la ressource réseau en utilisant la notation de barre oblique et cliquez sur Ajouter.

1. Dans la section Mise en réseau et Pool d'Address IP , dans la liste déroulante, sélectionnez l'une des options suivantes:
   1. Trafic VPN routé — Pour acheminer le trafic VPN vers les réseaux et ressources indiqués. Il s'agit de l'option par défaut.
   2. Pont Trafic VPN — Pour créer un pont pour le trafic SSL VPN vers un réseau que vous indiquez. Astuce ! Lorsque vous sélectionnez cette option, vous ne pouvez pas filtrer le trafic entre les utilisateurs VPN SSL et le réseau auquel le trafic VPN SSL est relié par un pont.

2. Sélectionnez l'une de ces options :
   1. Pour router par le tunnel tout le trafic du client VPN à destination de votre réseau privé et d'Internet, sélectionnez Forcer tout le trafic client à passer par le tunnel. Astuce ! Cette option envoie tout le trafic externe aux stratégies Firebox que vous créez et offre une sécurité constante pour les utilisateurs mobiles. Toutefois, étant donné qu'elle nécessite une puissance de traitement supérieure du Firebox, l'accès aux ressources Internet peut être très lent pour les utilisateurs mobiles. Pour plus d'informations sur la façon d'autoriser les clients à accéder à Internet quand cette option est sélectionnée, voir Options pour l'accès à Internet par le biais d'un tunnel Mobile VPN with SSL.
   2. Pour ne faire transiter par le tunnel que le trafic du client VPN à destination de vos réseaux privés, décochez la case Forcer tout le trafic client à passer par le tunnel.
3. Si vous avez désactivé la case à cocher Forcer tout le trafic client via le tunnel, sélectionnez l'une des options suivantes :
   1. Pour permettre l'accès à tous les réseaux internes, sélectionnez Autoriser l'accès à tous les réseaux Approuvés, Facultatifs et Personnalisés.
   2. Pour limiter l'accès des clients Mobile VPN with SSL aux seuls périphériques précisés sur votre réseau privé, cochez la case Spécifier les ressources autorisées. Pour spécifier une ressource autorisée, entrez l'adresse IP de la ressource réseau en utilisant la notation de barre oblique et cliquez sur Ajouter.

Trafic VPN routé

1. Pour le pool d'adresses IP virtuelles, conservez le paramètre par défaut 192.168.113.0/24, ou saisissez une autre plage.
2. Saisissez l'adresse IP du sous-réseau en employant la notation de barre oblique. Les adresses IP de ce sous-réseau sont automatiquement attribuées aux connexions des clients Mobile VPN with SSL. Vous ne pouvez pas attribuer d'adresse IP à un utilisateur spécifique.

Ponter le trafic VPN

1. Dans la liste déroulante Pont vers l'interface, sélectionnez le nom de l'interface vers laquelle vous souhaitez créer un pont. Vous pouvez ponter le trafic VPN uniquement vers un pont LAN.

Pour plus d'informations, consultez Planifier Votre Configuration Mobile VPN with SSL.

2. Dans les zones de texte Début et Fin, saisissez la première et la dernière adresse IP de la plage à attribuer aux connexions des clients Mobile VPN with SSL. Les adresses IP de début et de fin doivent être sur le même sous-réseau que l'interface reliée par un pont.
   Pour plus d'informations sur les adresses IP virtuelles, consultez Adresses IP Virtuelles et Mobile VPN.

Trafic VPN routé

Pour le pool d'adresses IP virtuelles, conservez le paramètre par défaut 192.168.113.0/24, ou saisissez une autre plage.

Ponter le trafic VPN

1. Dans la liste déroulante Pont vers l'interface, sélectionnez le nom de l'interface vers laquelle vous souhaitez créer un pont. Vous pouvez ponter le trafic VPN uniquement vers un pont LAN.

Pour plus d'informations, consultez Planifier Votre Configuration Mobile VPN with SSL.

2. Dans les zones de texte Début et Fin, saisissez les première et dernière adresses IP de la plage à attribuer aux connexions clients Mobile VPN with SSL. Lorsque vous pontez le trafic VPN vers un pont LAN, les adresses IP de Début et de Fin doivent se trouver sur le même sous-réseau que l'interface pontée.

Pour plus d'informations sur les adresses IP virtuelles, consultez Adresses IP Virtuelles et Mobile VPN.

1. Sur la page Mobile VPN with SSL, sélectionnez l'onglet Authentification.
   
2. Dans la liste déroulante Serveur d'Authentification , sélectionnez un serveur d'authentification que vous souhaitez utiliser pour l'authentification des utilisateurs Mobile VPN with SSL.
   Seuls les domaines et serveurs de méthode d'authentification activés sont repris dans la liste. Pour plus d'informations sur les méthodes d'authentification prises en charge, consultez Types de Serveurs d'Authentification.

3. Cliquez sur Ajouter.
4. Répétez les Étapes 2 et 3 pour ajouter d'autres serveurs d'authentification.
5. Si vous ajoutez plusieurs serveurs d'authentification, sélectionnez le serveur que vous souhaitez utiliser comme serveur par défaut. Cliquez sur Monter pour déplacer ce serveur en haut de la liste.
   Mobile VPN with SSL utilise le serveur d'authentification par défaut si un utilisateur ne spécifie pas de serveur d'authentification dans la zone de texte Nom d'utilisateur sur le client Mobile VPN with SSL.
   
6. Pour ajouter des utilisateurs et des groupes, consultez la section suivante de cette rubrique.

Si vous configurez Mobile VPN with SSL pour utiliser plus d'un serveur d'authentification, les utilisateurs qui n'emploient pas le serveur d'authentification par défaut doivent spécifier le serveur d'authentification ou le domaine comme faisant partie de leur nom d'utilisateur. Pour plus d'informations et d'exemples, consultez Télécharger, Installer et Connecter le Client Mobile VPN with SSL.

1. Dans la boîte de dialogue Configuration de Mobile VPN with SSL, sélectionnez l'onglet Authentification .
   
2. Cliquez sur Configurer.
   Pour plus d'informations sur les méthodes d'authentification prises en charge, consultez Types de Serveurs d'Authentification.
3. Pour sélectionner un serveur d'authentification déjà configuré sur votre Firebox, cochez la case correspondant à son nom.

4. Si vous ajoutez plusieurs serveurs d'authentification, sélectionnez le serveur que vous souhaitez utiliser comme serveur par défaut. Cliquez sur Définir par défaut pour déplacer ce serveur en haut de la liste.
   Mobile VPN with SSL utilise le serveur d'authentification par défaut si un utilisateur ne spécifie pas de serveur d'authentification dans la zone de texte Nom d'utilisateur sur le client Mobile VPN with SSL.
5. Si vous désirez que le client Mobile VPN with SSL se reconnecte automatiquement, cochez la case Reconnexion automatique en cas de perte de connexion. Si vous activez cette option, les utilisateurs mobiles peuvent cocher une case sur le client Mobile VPN with SSL pour choisir si le client doit se reconnecter automatiquement. Vous devez également activer cette option si vous souhaitez que le client utilise automatiquement l'adresse IP secondaire lorsqu'il ne parvient pas à se connecter à l'adresse IP principale.
6. Pour obliger les utilisateurs à s'authentifier après la déconnexion d'un Mobile VPN with SSL, cochez la case Forcer les utilisateurs à s'authentifier après la perte d'une connexion. Nous vous recommandons de cocher cette case si vous utilisez une méthode d'authentification à deux facteurs avec un mot de passe à usage unique, comme RADIUS ou SecurID. Si vous ne forcez pas les utilisateurs à s'authentifier après la perte d'une connexion, la tentative de connexion automatique peut échouer. En effet, le client Mobile VPN with SSL tente de se reconnecter automatiquement après la perte de connexion à l'aide du mot de passe à usage unique que l'utilisateur a saisi à l'origine et qui n'est plus correct.
7. Si vous désirez que le client Mobile VPN with SSL mémorise le mot de passe, cochez la case Autoriser le client Mobile VPN with SSL à se rappeler le mot de passe. Si vous activez cette option, l'utilisateur mobile peut cocher une case sur le client Mobile VPN with SSL pour choisir si le client doit enregistrer le mot de passe.
8. Pour ajouter des utilisateurs et des groupes, consultez la section suivante de cette rubrique.

Si vous configurez Mobile VPN with SSL pour utiliser plus d'un serveur d'authentification, les utilisateurs qui n'emploient pas le serveur d'authentification par défaut doivent spécifier le serveur d'authentification ou le domaine comme faisant partie de leur nom d'utilisateur. Pour plus d'informations et d'exemples, consultez Télécharger, Installer et Connecter le Client Mobile VPN with SSL.

1. Sur la page Mobile VPN with SSL, sélectionnez l'onglet Authentification.
   Les paramètres d'Authentification apparaissent.
2. Dans la section Utilisateurs et Groupes, dans la liste déroulante Créer nouveau , sélectionnez un serveur d'authentification.
3. Dans la liste déroulante adjacente, sélectionnez Utilisateur ou Groupe.

4. Cliquez sur Ajouter.
   Si vous avez sélectionné Firebox-DB, la boîte de dialogue Firebox User ou Firebox Group s'affiche.
   Si vous avez sélectionné Tout, la boîte de dialogue Ajouter un utilisateur ou un groupe s'affiche.
5. Pour ajouter un nouvel utilisateur Firebox-DB, suivez les étapes 6 à 14 de la rubrique Définir un nouvel Utilisateur pour l'Authentification Firebox.
6. Pour ajouter un nouveau groupe Firebox-DB, suivez les étapes 4 à 9 de la rubrique Définir un nouveau Groupe pour l'Authentification Firebox .
7. Pour ajouter de nouveaux utilisateurs et groupes pour l'authentification tierce, suivez les étapes 4 à 9 de la rubrique Utiliser les Utilisateurs et Groupes dans les Stratégies.
8. (Facultatif) Dans Fireware v12.5.4 et versions ultérieures, pour activer Host Sensor Enforcement pour un groupe, cochez la case de ce groupe puis sélectionnez Oui. Pour désactiver Host Sensor Enforcement pour un groupe, cochez la case de ce groupe puis sélectionnez Non. Pour plus d'informations, consultez À propos de TDR Host Sensor Enforcement.

9. Si vous désirez que le client Mobile VPN with SSL se reconnecte automatiquement, cochez la case Reconnexion automatique en cas de perte de connexion. Si vous activez cette option, les utilisateurs mobiles peuvent cocher une case sur le client Mobile VPN with SSL pour choisir si le client doit se reconnecter automatiquement. Vous devez également activer cette option si vous souhaitez que le client utilise automatiquement l'adresse IP secondaire lorsqu'il ne parvient pas à se connecter à l'adresse IP principale.
10. Pour obliger les utilisateurs à s'authentifier après la déconnexion d'un Mobile VPN with SSL, cochez la case Forcer les utilisateurs à s'authentifier après la perte d'une connexion. Nous vous recommandons de cocher cette case si vous utilisez une méthode d'authentification à deux facteurs avec un mot de passe à usage unique, comme RADIUS ou SecurID. Si vous ne forcez pas les utilisateurs à s'authentifier après la perte d'une connexion, la tentative de connexion automatique peut échouer. En effet, le client Mobile VPN with SSL tente de se reconnecter automatiquement après la perte de connexion à l'aide du mot de passe à usage unique que l'utilisateur a saisi à l'origine et qui n'est plus correct.
11. Si vous désirez que le client Mobile VPN with SSL mémorise le mot de passe, cochez la case Autoriser le client Mobile VPN with SSL à se rappeler le mot de passe. Si vous activez cette option, l'utilisateur mobile peut cocher une case sur le client Mobile VPN with SSL pour choisir si le client doit enregistrer le mot de passe.

1. Sélectionnez Configuration > Authentification > Utilisateurs et Groupes.
2. Cliquez sur Nouveau.

3. Sélectionnez Utilisateur/Groupe Firebox-DB ou Utilisateur/Groupe externe.
   Si vous avez sélectionné Groupe/Utilisateur Firebox-DB, la boîte de dialogue Serveurs d'Authhentification dans l'onglet Firebox-DB s'affiche.
   Si vous avez sélectionné Utilisateur/Group Externe, la boîte de dialogue Ajouter un utilisateur ou un Groupe s'affiche.
4. Pour ajouter un nouvel utilisateur Firebox-DB, suivez les étapes 5 à 14 de la rubrique Définir un nouvel Utilisateur pour l'Authentification Firebox.
5. Pour ajouter un nouveau groupe Firebox-DB, suivez les étapes 4 à 9 de la rubrique Définir un nouveau Groupe pour l'Authentification Firebox .
6. Pour ajouter de nouveaux utilisateurs et groupes pour l'authentification tierce, suivez les étapes 4 à 11 de la rubrique Utiliser les Utilisateurs et Groupes dans les Stratégies.
7. (Facultatif) Dans Fireware v12.5.4 et versions ultérieures, pour activer l'Application du Host Sensor pour un groupe, cochez la case de ce groupe puis la case Application du Host Sensor. Pour désactiver l'Application du Host Sensor pour un groupe, cochez la case de ce groupe puis décochez la case Application du Host Sensor. Pour plus d'informations, consultez À propos de TDR Host Sensor Enforcement.

1. Sélectionnez VPN > Mobile VPN with SSL.
   La page Configuration de Mobile VPN with SSL s'affiche.
2. Sélectionnez l'onglet Avancé.

3. Configurez les paramètres d'authentification, de chiffrement, de port et de délai :

Authentification

Sélectionnez une méthode d'authentification pour la connexion : SHA-1, SHA-256 ou SHA-512. Nous vous recommandons les variantes SHA-2 SHA-256 et SHA-512, plus robustes que SHA-1.

Chiffrement

Sélectionnez un algorithme pour chiffrer le trafic : 3DES, AES (128 bits), AES (192 bits) ou AES (256 bits). Dans Fireware v12.2 et les versions ultérieures, vous pouvez également sélectionner AES-GCM (128 bits), AES-GCM (192 bits) ou AES-GCM (256 bits). Nous recommandons le chiffrement AES. Pour de meilleures performances, sélectionnez une variante AES 128 bits. Pour le chiffrement le plus sécurisé, sélectionnez AES (256 bits).

Si vous sélectionnez 3DES, tenez compte des potentielles attaques de sécurité, bien qu'improbables. Pour de plus amples informations, consultez la rubrique Vulnérabilité Sweet32 dans la Base de Connaissances WatchGuard.

Canal de données

Sélectionnez le protocole et le port utilisés par Mobile VPN with SSL pour envoyer des données une fois qu'une connexion VPN est établie. Vous pouvez utiliser le protocole TCP ou UDP. Le protocole et le port par défaut de Mobile VPN with SSL est TCP port 443. Ce sont également le protocole et le port standard du trafic HTTPS. Vous pouvez utiliser le port 443 pour Mobile VPN with SSL dans la mesure où vous n'utilisez pas la même adresse IP externe dans une stratégie HTTPS entrante.

Si vous changez le canal de données de sorte à utiliser un port autre que 443, les utilisateurs doivent taper manuellement ce port dans la boîte de dialogue de connexion de Mobile VPN with SSL. Par exemple, si vous changez le canal de données à 444 et que l'adresse IP du Firebox est 203.0.113.2, les utilisateurs devront saisir 203.0.113.2:444 au lieu de 203.0.113.2.

Si le port par défaut est 443, les utilisateurs doivent uniquement saisir l'adresse IP du Firebox. Il ne sera pas utile de saisir :443 après l'adresse IP.

Pour plus d'informations, consultez Choisir le Port et le Protocole pour Mobile VPN with SSL.

Mobile VPN with SSL ne prend pas en charge le canal de données UDP pour les connexions VPN vers l'adresse IP d'une interface externe secondaire.

Canal de configuration

Le Canal de Configuration spécifie le canal sur lequel les utilisateurs Mobile VPN with SSL peuvent télécharger le logiciel client SSL.

Sélectionnez le protocole et le port utilisés par Mobile VPN with SSL pour négocier le canal de données et télécharger les fichiers de configuration. Si vous définissez le protocole du canal de données sur TCP, le canal de configuration utilisera automatiquement le même port et le même protocole. Si vous définissez le protocole de canal de données sur UDP, vous pouvez définir le protocole de canal de configuration sur TCP ou UDP et utiliser un port différent de celui du canal de données.

Dans Fireware v12.1.x, le Canal de Configuration figure dans les paramètres du Portail VPN sous le nom Port du Portail VPN. Pour obtenir les instructions de configuration s'appliquant à Fireware v12.1.x, consultez la section Configurer les paramètres du Portail VPN dans Fireware v12.1.x de la Base de Connaissances WatchGuard.

Intervalle de Conservation d'Activité

Indiquez la fréquence à laquelle le Firebox envoie du trafic par le tunnel afin de conserver le tunnel en activité même en l'absence de trafic.

Délai de Conservation d'Activité

Précisez la durée pendant laquelle le Firebox attend une réponse. Si aucune réponse n'est reçue avant l'expiration du délai d'expiration, le tunnel est fermé et le client doit se reconnecter.

Renégocier le canal de données

Si une connexion Mobile VPN with SSL est active pendant la durée indiquée dans la zone de texte Renégocier le canal de données, le client Mobile VPN with SSL doit créer un nouveau tunnel. La valeur minimale est de 60 minutes.

4. Configurez les paramètres DNS :
   

Dans Fireware v12.2.1 et les versions ultérieures, vous pouvez assigner ou non les paramètres DNS/WINS Réseau (globaux) aux clients Mobile VPN with SSL.

Assigner les paramètres DNS/WINS réseau aux clients mobiles

Si vous sélectionnez cette option, les clients mobiles obtiennent les paramètres DNS et WINS que vous spécifiez dans Réseau > Interfaces > DNS/WINS. Par exemple, si vous spécifiez le serveur DNS 10.0.2.53 dans les paramètres Réseau DNS/WINS, les clients Mobile VPN utilisent 10.0.2.53 comme serveur DNS.

Par défaut, le paramètre Assigner les paramètres DNS/WINS réseau aux clients mobiles est sélectionné pour les nouvelles configurations Mobile VPN.

Ne pas assigner de paramètres DNS ou WINS aux clients mobiles

Si vous sélectionnez cette option, les clients mobiles ne reçoivent pas les paramètres DNS ou WINS du Firebox.

Si votre configuration Mobile VPN with SSL ne spécifie pas les paramètres DNS, lorsque vous effectuez la mise à niveau vers Fireware v12.2.1, l'option Ne pas assigner les paramètres DNS/WINS réseau aux clients mobiles est sélectionnée.

Assigner ces paramètres aux clients mobiles

Si vous sélectionnez cette option, les clients mobiles obtiennent les paramètres de nom de domaine, de serveur DNS et de serveur WINS que vous spécifiez dans cette section. Par exemple, si vous spécifiez example.com comme nom de domaine et 10.0.2.53 comme serveur DNS, les clients mobiles utilisent example.com pour les noms de domaine non qualifiés et 10.0.2.53 comme serveur DNS.

Vous pouvez spécifier un nom de domaine, jusqu'à deux adresses IP de serveur DNS et jusqu'à deux adresses IP de serveur WINS.

Pour plus d'informations sur DNS et WINS, consultez Résolution de nom pour Mobile VPN with SSL.

Dans Fireware v12.2 et les versions antérieures, vous pouvez spécifier un nom de domaine, les paramètres du serveur DNS et les paramètres du serveur WINS, mais il est impossible d'assigner ou non les paramètres DNS/WINS Réseau (globaux) aux clients Mobile VPN with SSL.

1. Sélectionnez VPN >Mobile VPN > SSL.
   
   La boîte de dialogue Configuration de Mobile VPN with SSL apparaît.

2. Sélectionnez l'onglet Avancé.
3. Configurez les paramètres d'authentification, de chiffrement, de port et de délai :

Authentification

Sélectionnez une méthode d'authentification pour la connexion : SHA-1, SHA-256 et SHA-512. Nous vous recommandons les variantes SHA-2 SHA-256 et SHA-512, plus robustes que SHA-1.

Chiffrement

Sélectionnez un algorithme pour chiffrer le trafic : 3DES, AES (128 bits), AES (192 bits) ou AES (256 bits). Dans Fireware v12.2 et les versions ultérieures, vous pouvez également sélectionner AES-GCM (128 bits), AES-GCM (192 bits) ou AES-GCM (256 bits). Nous recommandons le chiffrement AES. Pour de meilleures performances, sélectionnez une variante AES 128 bits. Pour le chiffrement le plus sécurisé, sélectionnez AES (256 bits).

Si vous sélectionnez 3DES, tenez compte des potentielles attaques de sécurité, bien qu'improbables. Pour de plus amples informations, consultez la rubrique Vulnérabilité Sweet32 dans la Base de Connaissances WatchGuard.

Canal de données

Sélectionnez le protocole et le port utilisés par Mobile VPN with SSL pour envoyer des données une fois qu'une connexion VPN est établie. Vous pouvez utiliser le protocole TCP ou UDP. Le protocole et le port par défaut de Mobile VPN with SSL est TCP port 443. Ce sont également le protocole et le port standard du trafic HTTPS. Vous pouvez utiliser le port 443 pour Mobile VPN with SSL dans la mesure où vous n'utilisez pas la même adresse IP externe dans une stratégie HTTPS entrante.

Si vous changez le canal de données de sorte à utiliser un port autre que 443, les utilisateurs doivent taper manuellement ce port dans la boîte de dialogue de connexion de Mobile VPN with SSL. Par exemple, si vous changez le canal de données à 444 et que l'adresse IP du Firebox est 203.0.113.2, les utilisateurs devront saisir 203.0.113.2:444 au lieu de 203.0.113.2.

Si le port par défaut est 443, les utilisateurs doivent uniquement saisir l'adresse IP du Firebox. Il ne sera pas utile de saisir :443 après l'adresse IP.

Pour plus d'informations, consultez Choisir le Port et le Protocole pour Mobile VPN with SSL.

Mobile VPN with SSL ne prend pas en charge le canal de données UDP pour les connexions VPN vers l'adresse IP d'une interface externe secondaire.

Canal de configuration

Le Canal de Configuration spécifie le canal sur lequel les utilisateurs Mobile VPN with SSL peuvent télécharger le logiciel client SSL.

Sélectionnez le protocole et le port utilisés par Mobile VPN with SSL pour négocier le canal de données et télécharger les fichiers de configuration. Si vous définissez le protocole du canal de données sur TCP, le canal de configuration utilisera automatiquement le même port et le même protocole. Si vous définissez le protocole de canal de données sur UDP, vous pouvez définir le protocole de canal de configuration sur TCP ou UDP et utiliser un port différent de celui du canal de données.

Dans Fireware v12.1.x, le Canal de Configuration figure dans les paramètres du Portail VPN sous le nom Port du Portail VPN. Pour obtenir les instructions de configuration s'appliquant à Fireware v12.1.x, consultez la section Configurer les paramètres du Portail VPN dans Fireware v12.1.x de la Base de Connaissances WatchGuard.

Intervalle de Conservation d'Activité

Indiquez la fréquence à laquelle le Firebox envoie du trafic par le tunnel afin de conserver le tunnel en activité même en l'absence de trafic.

Délai de Conservation d'Activité

Précisez la durée pendant laquelle le Firebox attend une réponse. Si aucune réponse n'est reçue avant l'expiration du délai d'expiration, le tunnel est fermé et le client doit se reconnecter.

Renégocier le canal de données

Si une connexion Mobile VPN with SSL est active pendant la durée indiquée dans la zone de texte Renégocier le canal de données, le client Mobile VPN with SSL doit créer un nouveau tunnel. La valeur minimale est de 60 minutes.

Restaurer les Valeurs par Défaut

Cliquez sur cette option pour rétablir les paramètres de l'onglet Avancé sur les valeurs par défaut. Toutes les informations sur les serveurs DNS et WINS figurant dans l'onglet Avancé sont supprimées.

4. Configurez les paramètres DNS :

Assigner les paramètres DNS/WINS réseau aux clients mobiles

Si vous sélectionnez cette option, les clients mobiles obtiennent les paramètres DNS et WINS que vous spécifiez dans Réseau > Interfaces > DNS/WINS. Par exemple, si vous spécifiez le serveur DNS 10.0.2.53 dans les paramètres Réseau DNS/WINS, les clients Mobile VPN utilisent 10.0.2.53 comme serveur DNS.

Par défaut, le paramètre Assigner les paramètres DNS/WINS réseau aux clients mobiles est sélectionné pour les nouvelles configurations Mobile VPN.

Ne pas assigner de paramètres DNS ou WINS aux clients mobiles

Si vous sélectionnez cette option, les clients mobiles ne reçoivent pas les paramètres DNS ou WINS du Firebox.

Si votre configuration Mobile VPN with SSL ne spécifie pas les paramètres DNS, lorsque vous effectuez la mise à niveau vers Fireware v12.2.1, l'option Ne pas assigner les paramètres DNS/WINS réseau aux clients mobiles est sélectionnée.

Assigner ces paramètres aux clients mobiles

Si vous sélectionnez cette option, les clients mobiles obtiennent les paramètres de nom de domaine, de serveur DNS et de serveur WINS que vous spécifiez dans cette section. Par exemple, si vous spécifiez example.com comme nom de domaine et 10.0.2.53 comme serveur DNS, les clients mobiles utilisent example.com pour les noms de domaine non qualifiés et 10.0.2.53 comme serveur DNS.

Vous pouvez spécifier un nom de domaine, jusqu'à deux adresses IP de serveur DNS et jusqu'à deux adresses IP de serveur WINS.

Pour plus d'informations sur DNS et WINS, consultez Résolution de nom pour Mobile VPN with SSL.

Dans Fireware v12.2 et les versions antérieures, vous pouvez spécifier un nom de domaine, les paramètres du serveur DNS et les paramètres du serveur WINS, mais il est impossible d'assigner ou non les paramètres DNS/WINS Réseau (globaux) aux clients Mobile VPN with SSL.

1. Sélectionnez Pare-Feu > Stratégies de Pare-Feu.
   La page Stratégies s'affiche.
2. Cliquez sur Ajouter une Stratégie.
3. Dans la liste déroulante Filtre de paquets, sélectionnez Tout.
4. Dans la zone de texte Nom, saisissez un nom descriptif de la stratégie.
5. Cliquez sur Ajouter une Stratégie.
6. Dans l'onglet Paramètres, dans la section De, cliquez sur Tout-Approuvé. Cliquez sur Supprimer.
7. Dans la section De, cliquez sur Ajouter.
   La boîte de dialogue Ajouter un membre s'affiche.
8. Dans la liste déroulante Type de membre, sélectionnez Groupe SSLVPN.
9. Sélectionnez SSLVPN-Utilisateurs.
10. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un Membre.
11. Dans la section A, sélectionnez Tout-Externe. Cliquez sur Supprimer.
12. Dans la section À, cliquez sur Ajouter.
    La boîte de dialogue Ajouter un membre s'affiche.
13. Dans la liste des membres Tout-Approuvé.
14. Cliquez sur OK.
15. Cliquez sur Enregistrer.

1. Cliquez sur .
   Ou, sélectionnez Modifier > Ajouter des Stratégies.
   La boîte de dialogue Ajouter des Stratégies s'ouvre.
2. Développez le dossier Filtres de paquets.
   La liste des modèles de filtres de paquets apparaît.
3. Sélectionnez Tout.
4. Cliquez sur Ajouter.
   La boîte de dialogue Propriétés de la nouvelle stratégie s'ouvre.
   
5. Dans la zone de texte Nom, saisissez un nom descriptif de la stratégie.
6. Dans l'onglet Stratégie, dans la section De, cliquez sur Tout-Approuvé. Cliquez sur Supprimer.
7. Dans la section De, cliquez sur Ajouter.
   La boîte de dialogue Ajouter une adresse s'affiche.
8. Cliquez sur Ajouter un Utilisateur.
9. Dans les deux listes déroulantes Type, sélectionnez Réseau privé VPN (Virtual Private Network) SSL pour la première et Groupe pour la deuxième.
10. Sélectionnez SSLVPN-Utilisateurs. Cliquez sur Sélectionner.
    Le nom de la méthode d'authentification apparaît entre parenthèses après SSLVPN-Utilisateurs.
11. Cliquez sur OK pour fermer la boîte de dialogue Ajouter une Adresse.
12. Dans la section A, sélectionnez Tout-Externe. Cliquez sur Supprimer.
13. Dans la section À, cliquez sur Ajouter.
    La boîte de dialogue Ajouter une adresse s'affiche.
14. Dans la liste Membres Disponibles, sélectionnez Tout-Approuvé. Cliquez sur Ajouter.
15. Cliquez sur OK à deux reprises. Cliquez sur Fermer.
16. Enregistrez les modifications dans le Firebox.

1. Sélectionnez Authentification > Utilisateurs et Groupes.
2. Ajoutez les utilisateurs et les groupes, comme indiqué dans Utiliser les Utilisateurs et Groupes dans les Stratégies.

Après avoir ajouté des utilisateurs ou des groupes de la configuration de Mobile VPN with SSL à la liste des Utilisateurs et Groupes, vous pouvez modifier la stratégie Autoriser SSLVPN-Utilisateurs générée automatiquement pour l'appliquer à un groupe ou un utilisateur spécifique.

Par exemple, nous modifions la stratégie Autoriser SSLVPN-Utilisateurs pour l'appliquer uniquement au groupe d'utilisateurs LDAP-Utilisateurs1 :

1. Sélectionnez Authentification > Utilisateurs et Groupes.
2. Ajoutez le groupe LDAP-Users1 que vous avez ajouté à la configuration Mobile VPN with SSL.
   Assurez-vous de sélectionner LDAP pour le Serveur d'Authentification.
3. Modifiez la stratégie Autoriser SSLVPN-Utilisateurs.
4. Dans la section De, sélectionnez le groupe SSLVPN-Utilisateurs. Cliquez sur Supprimer.
5. Dans la section De, cliquez sur Ajouter.
   La boîte de dialogue Ajouter un Membre s'affiche.
6. Dans la liste déroulante Type de Membre, sélectionnez Groupe SSLVPN.
   Une liste de groupes apparaît.
7. Sélectionnez le groupe LDAP-Utilisateurs1. Cliquez sur OK.
   Le groupe LDAP-Utilisateurs1 s'affiche dans la liste De.
8. Cliquez sur OK.
   La stratégie Autoriser SSLVPN-Utilisateurs s'applique désormais uniquement au groupe LDAP-Utilisateurs1.

1. Sélectionnez Configuration > Authentification > Utilisateurs et Groupes.
2. Ajoutez les utilisateurs et les groupes, comme indiqué dans Utiliser les Utilisateurs et Groupes dans les Stratégies.

Après avoir ajouté des utilisateurs ou des groupes de la configuration de Mobile VPN with SSL à la liste des Utilisateurs et Groupes, vous pouvez modifier la stratégie Autoriser SSLVPN-Utilisateurs générée automatiquement pour l'appliquer à un groupe ou un utilisateur spécifique.

Par exemple, nous modifions la stratégie Autoriser SSLVPN-Utilisateurs pour l'appliquer uniquement au groupe d'utilisateurs LDAP-Utilisateurs1 :

1. Sélectionnez Configuration > Authentification > Utilisateurs et Groupes.
2. Ajoutez le groupe LDAP-Users1 que vous avez ajouté à la configuration Mobile VPN with SSL.
   Assurez-vous de sélectionner LDAP pour le Serveur d'Authentification.
3. Modifiez la stratégie Autoriser SSLVPN-Utilisateurs.
4. Dans la section De, sélectionnez le groupe SSLVPN-Utilisateurs. Cliquez sur Supprimer.
5. Dans la section De, cliquez sur Ajouter.
   La boîte de dialogue Ajouter une Adresse s'affiche.
6. Sélectionnez Ajouter autre.
   La boîte de dialogue Ajouter un membre s'affiche.

7. Dans la liste déroulante Choisir le type, sélectionnez Adresse personnalisée.
8. Dans la liste déroulante Utilisateur/Groupe, sélectionnez le groupe LDAP-Utilisateurs1. Cliquez sur OK.
   Le groupe LDAP-Utilisateurs1 s'affiche dans la liste Adresses et Membres Sélectionnés.
9. Cliquez sur OK.
   La stratégie Autoriser SSLVPN-Utilisateurs s'applique désormais uniquement au groupe LDAP-Utilisateurs1.