Utiliser l'Assistant WatchGuard IKEv2 Setup Wizard

L'assistant WatchGuard IKEv2 Setup Wizard vous permet d'activer et de configurer Mobile VPN with IKEv2 sur le Firebox. L'assistant d'installation est uniquement disponible lorsque Mobile VPN with IKEv2 n'est pas activé. L'assistant vous invite à configurer les quatre paramètres suivants :

  • Nom de domaine ou adresse IP du Firebox pour les connexions client
  • Serveur d'authentification
  • Utilisateurs et groupes
  • Pool d'adresses IP virtuelles

Les paramètres ne figurant pas dans l'assistant sont définis selon leur valeur par défaut. Une fois l'assistant terminé, vous pouvez modifier la configuration de Mobile VPN with IKEv2 pour modifier les paramètres spécifiés dans l'assistant ainsi que d'autres paramètres.

Avant de Commencer

Serveur d'authentification

Vous devez configurer un serveur d'authentification pour l'authentification des utilisateurs IKEv2 avant d'activer Mobile VPN with IKEv2. Lorsque vous configurez Mobile VPN with IKEv2, vous sélectionnez un serveur d'authentification et spécifiez des utilisateurs et des groupes. Si vos utilisateurs s'authentifient sur les ressources réseau avec Active Directory, nous vous recommandons de configurer l'authentification RADIUS de manière à ce que le VPN IKEv2 puisse transmettre les informations d'identification Active Directory.

Pour de plus amples informations concernant les méthodes d'authentification des utilisateurs prises en charge pour IKEv2, consultez À propos de l'Authentification des Utilisateurs Mobile VPN with IKEv2.

Adresse IP dynamique

Si votre Firebox a une adresse IP dynamique, vous pouvez spécifier un nom de domaine pour les connexions client au lieu d'une adresse IP. Pour se connecter au mobile VPN, les utilisateurs spécifient le nom de domaine dans les paramètres du client mobile VPN. Assurez-vous d'enregistrer l'adresse IP externe de votre Firebox auprès d'un fournisseur de services DNS dynamique. Facultativement, vous pouvez activer le DNS dynamique sur le Firebox pour envoyer automatiquement des mises à jour d'adresse IP à un fournisseur de services DNS dynamique pris en charge par le Firebox. Pour de plus amples informations concernant le DNS dynamique, consultez À propos du service DNS dynamique.

Paramètres par défaut

IPSec

Lorsque vous activez Mobile VPN with IKEv2, IPSec est activé par défaut avec les paramètres IPSec suivants :

Transformations de Phase 1 :

  • SHA2-256, AES(256) et Groupe Diffie-Hellman 14
  • SHA-1, AES(256) et Groupe Diffie-Hellman 5
  • SHA-1, AES(256) et Groupe Diffie-Hellman 2
  • SHA-1, 3DES et Groupe Diffie-Hellman 2

La durée de vie de la SA est de 24 heures pour toutes les transformations.

Propositions de Phase 2 :

  • ESP-AES-SHA1
  • ESP-AES256-SHA256

PFS est désactivé.

Dans Fireware v12.2 et les versions ultérieures, l'AES-GCM est pris en charge pour les transformations de Phase 1 et les propositions de Phase 2.

Si vos clients IKEv2 nécessitent différents paramètres, vous pouvez les modifier après avoir exécuté l'assistant.

Pool d'adresses IP

Par défaut, le pool d'adresses de Mobile VPN with IKEv2 est 192.168.114.0/24.

Nous vous recommandons de ne pas utiliser les plages de réseaux privés 192.168.0.0/24 ou 192.168.1.0/24 sur vos réseaux d'entreprise ou invité. Ces plages sont couramment utilisées sur les réseaux domestiques. Si un utilisateur mobile VPN a une plage de réseau domestique qui chevauche la plage de votre réseau d'entreprise, le trafic de l'utilisateur ne passe pas par le tunnel VPN. Pour résoudre ce problème, nous vous recommandons de Migrer vers une Nouvelle Plage Réseau Standard.

Pour plus d'informations sur les pools d'adresses IP virtuelles, consultez Adresses IP Virtuelles et Mobile VPN.

Groupe d'Utilisateurs

Lorsque vous activez Mobile VPN with IKEv2, le Firebox crée automatiquement un groupe d'utilisateurs nommé Utilisateurs-IKEv2. Vous pouvez ajouter d'autres utilisateurs et groupes dans la configuration IKEv2. Le Firebox inclut automatiquement ces utilisateurs et ces groupes dans le groupe Utilisateurs-IKEv2.

Pour plus d'informations sur l'authentification des utilisateurs et l'authentification multifacteur, consultez À propos de l'Authentification des Utilisateurs Mobile VPN with IKEv2.

Stratégies

Lorsque vous activez Mobile VPN with IKEv2, le Firebox crée automatiquement deux stratégies : Autoriser-IKE-vers-Firebox (une stratégie masquée) et Autoriser les Utilisateurs-IKEv2.

La stratégie Autoriser les Utilisateurs-IKEv2 autoriser les groupes et les utilisateurs que vous avez configurés pour l'authentification IKEv2 à accéder aux ressources de votre réseau. Par défaut, la liste À de la stratégie comprend uniquement l'alias Tout, ce qui signifie que cette stratégie autorise les utilisateurs Mobile VPN with IKEv2 à accéder à toutes les ressources réseau.

Nous vous recommandons de limiter les ressources réseau auxquelles les utilisateurs Mobile VPN with IKEv2 peuvent accéder via le VPN. Pour ce faire, vous pouvez remplacer la stratégie Autoriser les Utilisateurs-IKEv2. Pour obtenir les instructions de remplacement de la stratégie Autoriser les Utilisateurs-IKEv2 ainsi que de plus amples informations concernant les stratégies IKEv2, consultez la section À propos des Stratégies IKEv2.

Autres paramètres

Une fois l'assistant terminé, vous pouvez configurer les paramètres de Mobile VPN with IKEv2 supplémentaires qui ne figurent pas dans l'assistant. Pour obtenir des informations concernant d'autres paramètres, consultez Modifier la Configuration Mobile VPN with IKEv2.

Utiliser l'assistant IKEv2 Setup Wizard

Pour configurer d'autres paramètres, modifiez la configuration de Mobile VPN with IKEv2.

Voir Également

Mobile VPN with IKEv2

Modifier la Configuration Mobile VPN with IKEv2

Accès à Internet Via un Tunnel Mobile VPN with IKEv2

Configurer les Périphériques Client pour Mobile VPN with IKEv2

Configurer les Périphériques iOS et macOS pour Mobile VPN with IKEv2

Configurer les Périphériques Windows pour Mobile VPN with IKEv2

Configurer les Périphériques Android pour Mobile VPN with IKEv2

Dépanner Mobile VPN with IKEv2