Utiliser l'Assistant WatchGuard IKEv2 Setup Wizard
L'assistant WatchGuard IKEv2 Setup Wizard vous permet d'activer et de configurer Mobile VPN with IKEv2 sur le Firebox. L'assistant d'installation est uniquement disponible lorsque Mobile VPN with IKEv2 n'est pas activé. L'assistant vous invite à configurer les quatre paramètres suivants :
- Nom de domaine ou adresse IP du Firebox pour les connexions client
- Serveur d'authentification
- Utilisateurs et groupes
- Pool d'adresses IP virtuelles
Les paramètres ne figurant pas dans l'assistant sont définis selon leur valeur par défaut. Une fois l'assistant terminé, vous pouvez modifier la configuration de Mobile VPN with IKEv2 pour modifier les paramètres spécifiés dans l'assistant ainsi que d'autres paramètres.
Avant de Commencer
Serveur d'authentification
Vous devez configurer un serveur d'authentification pour l'authentification des utilisateurs IKEv2 avant d'activer Mobile VPN with IKEv2. Lorsque vous configurez Mobile VPN with IKEv2, vous sélectionnez un serveur d'authentification et spécifiez des utilisateurs et des groupes. Si vos utilisateurs s'authentifient sur les ressources réseau avec Active Directory, nous vous recommandons de configurer l'authentification RADIUS de manière à ce que le VPN IKEv2 puisse transmettre les informations d'identification Active Directory.
Pour de plus amples informations concernant les méthodes d'authentification des utilisateurs prises en charge pour IKEv2, consultez À propos de l'Authentification des Utilisateurs Mobile VPN with IKEv2.
Adresse IP dynamique
Si votre Firebox a une adresse IP dynamique, vous pouvez spécifier un nom de domaine pour les connexions client au lieu d'une adresse IP. Pour se connecter au mobile VPN, les utilisateurs spécifient le nom de domaine dans les paramètres du client mobile VPN. Assurez-vous d'enregistrer l'adresse IP externe de votre Firebox auprès d'un fournisseur de services DNS dynamique. Facultativement, vous pouvez activer le DNS dynamique sur le Firebox pour envoyer automatiquement des mises à jour d'adresse IP à un fournisseur de services DNS dynamique pris en charge par le Firebox. Pour de plus amples informations concernant le DNS dynamique, consultez À propos du service DNS dynamique.
Paramètres par défaut
IPSec
Lorsque vous activez Mobile VPN with IKEv2, IPSec est activé par défaut avec les paramètres IPSec suivants :
Transformations de Phase 1 :
- SHA2-256, AES(256) et Groupe Diffie-Hellman 14
- SHA-1, AES(256) et Groupe Diffie-Hellman 5
- SHA-1, AES(256) et Groupe Diffie-Hellman 2
- SHA-1, 3DES et Groupe Diffie-Hellman 2
La durée de vie de la SA est de 24 heures pour toutes les transformations.
Propositions de Phase 2 :
- ESP-AES-SHA1
- ESP-AES256-SHA256
PFS est désactivé.
Dans Fireware v12.2 et les versions ultérieures, l'AES-GCM est pris en charge pour les transformations de Phase 1 et les propositions de Phase 2.
Si vos clients IKEv2 nécessitent différents paramètres, vous pouvez les modifier après avoir exécuté l'assistant.
Pool d'adresses IP
Par défaut, le pool d'adresses de Mobile VPN with IKEv2 est 192.168.114.0/24.
Nous vous recommandons de ne pas utiliser les plages de réseaux privés 192.168.0.0/24 ou 192.168.1.0/24 sur vos réseaux d'entreprise ou invité. Ces plages sont couramment utilisées sur les réseaux domestiques. Si un utilisateur mobile VPN a une plage de réseau domestique qui chevauche la plage de votre réseau d'entreprise, le trafic de l'utilisateur ne passe pas par le tunnel VPN. Pour résoudre ce problème, nous vous recommandons de Migrer vers une Nouvelle Plage Réseau Standard.
Pour plus d'informations sur les pools d'adresses IP virtuelles, consultez Adresses IP Virtuelles et Mobile VPN.
Groupe d'Utilisateurs
Lorsque vous activez Mobile VPN with IKEv2, le Firebox crée automatiquement un groupe d'utilisateurs nommé Utilisateurs-IKEv2. Vous pouvez ajouter d'autres utilisateurs et groupes dans la configuration IKEv2. Le Firebox inclut automatiquement ces utilisateurs et ces groupes dans le groupe Utilisateurs-IKEv2.
Pour plus d'informations sur l'authentification des utilisateurs et l'authentification multifacteur, consultez À propos de l'Authentification des Utilisateurs Mobile VPN with IKEv2.
Stratégies
Lorsque vous activez Mobile VPN with IKEv2, le Firebox crée automatiquement deux stratégies : Autoriser-IKE-vers-Firebox (une stratégie masquée) et Autoriser les Utilisateurs-IKEv2.
La stratégie Autoriser les Utilisateurs-IKEv2 autoriser les groupes et les utilisateurs que vous avez configurés pour l'authentification IKEv2 à accéder aux ressources de votre réseau. Par défaut, la liste À de la stratégie comprend uniquement l'alias Tout, ce qui signifie que cette stratégie autorise les utilisateurs Mobile VPN with IKEv2 à accéder à toutes les ressources réseau.
Nous vous recommandons de limiter les ressources réseau auxquelles les utilisateurs Mobile VPN with IKEv2 peuvent accéder via le VPN. Pour ce faire, vous pouvez remplacer la stratégie Autoriser les Utilisateurs-IKEv2. Pour obtenir les instructions de remplacement de la stratégie Autoriser les Utilisateurs-IKEv2 ainsi que de plus amples informations concernant les stratégies IKEv2, consultez la section À propos des Stratégies IKEv2.
Autres paramètres
Une fois l'assistant terminé, vous pouvez configurer les paramètres de Mobile VPN with IKEv2 supplémentaires qui ne figurent pas dans l'assistant. Pour obtenir des informations concernant d'autres paramètres, consultez Modifier la Configuration Mobile VPN with IKEv2.
Utiliser l'assistant IKEv2 Setup Wizard
- (Fireware v12.3 et versions ultérieures) Sélectionnez VPN > Mobile VPN.
- Dans la section IKEv2, sélectionnez Configurer.
La page Mobile VPN with IKEv2 apparaît. - (Fireware v12.2.1 et versions antérieures) Sélectionnez VPN > Mobile VPN with IKEv2.
La page Mobile VPN with IKEv2 apparaît. - Cliquez sur Exécuter l'Assistant.
- Cliquez sur Suivant.
- Saisissez le nom de domaine ou l'adresse IP des connexions client. Si votre Firebox se situe derrière un périphérique NAT, vous devez spécifier l'adresse IP publique ou le nom de domaine de ce dernier.
- Dans la liste déroulante, sélectionnez un serveur destiné aux utilisateurs Mobile VPN with IKEv2 :
- Firebox-DB
- RADIUS
- AuthPoint (Fireware v12.7 et les versions ultérieures)
- Cliquez sur Ajouter.
- Répétez les Étapes 7 et 8 pour ajouter d'autres serveurs d'authentification. Le premier serveur de la liste est le serveur d'authentification par défaut.
- Sélectionnez ou ajoutez les utilisateurs ou les groupes Mobile VPN with IKEv2.
- (Facultatif) Dans Fireware v12.5.4 et versions ultérieures, pour activer Host Sensor Enforcement pour un groupe, cochez la case de ce groupe puis sélectionnez Oui. Pour désactiver Host Sensor Enforcement pour un groupe, cochez la case de ce groupe puis sélectionnez Non. Pour plus d'informations, consultez À propos de TDR Host Sensor Enforcement.
- Spécifiez le pool d'adresses IP des utilisateurs Mobile VPN with IKEv2. Le pool d'adresses IP par défaut est 192.168.114.0/24.
- Cliquez sur Terminer.
- Pour modifier la configuration, cliquez sur Configurer.
- Pour télécharger les scripts et les instructions de configuration des clients VPN IKEv2, cliquez sur Télécharger. Pour de plus amples informations concernant les scripts et les instructions, consultez Configurer les Périphériques Client pour Mobile VPN with IKEv2.
- (Fireware v12.3 et versions ultérieures) Sélectionnez VPN > Mobile VPN > IKEv2.
L'assistant IKEv2 Setup Wizard s'affiche. - (Fireware v12.2.1 et versions antérieures) Sélectionnez VPN > Mobile VPN > IKEv2 > Activer.
L'assistant IKEv2 Setup Wizard s'affiche.
- Cliquez sur Suivant.
- Saisissez le nom de domaine ou l'adresse IP des connexions client. Si votre Firebox se situe derrière un périphérique NAT, spécifiez l'adresse IP publique ou le nom de domaine de ce dernier.
- Sélectionnez un ou plusieurs serveurs d'authentification pour les utilisateurs Mobile VPN with IKEv2 :
- Firebox-DB
- RADIUS
- AuthPoint (Fireware v12.7 et les versions ultérieures)
- Pour spécifier un autre serveur d'authentification par défaut, sélectionnez un serveur puis cliquez sur Définir par Défaut.
- Sélectionnez ou ajoutez les utilisateurs ou les groupes Mobile VPN with IKEv2.
- (Facultatif) Dans Fireware v12.5.4 et les versions ultérieures, pour activer Host Sensor Enforcement pour un groupe, cochez la case de ce groupe puis la case Host Sensor Enforcement. Pour désactiver Host Sensor Enforcement pour un groupe, cochez la case de ce groupe puis décochez la case Host Sensor Enforcement. Pour plus d'informations, consultez À propos de TDR Host Sensor Enforcement.
- Spécifiez le pool d'adresses IP des utilisateurs Mobile VPN with IKEv2. Le pool d'adresses IP par défaut est 192.168.114.0/24.
- Cliquez sur Terminer.
- Pour modifier la configuration, sélectionnez VPN > Mobile VPN > IKEv2 > Configurer.
- Pour télécharger les scripts et les instructions de configuration des clients VPN IKEv2, sélectionnez VPN > Mobile VPN > IKEv2.
Pour de plus amples informations concernant les scripts, consultez Configurer les Périphériques Client pour Mobile VPN with IKEv2.
Pour configurer d'autres paramètres, modifiez la configuration de Mobile VPN with IKEv2.
Voir Également
Modifier la Configuration Mobile VPN with IKEv2
Accès à Internet Via un Tunnel Mobile VPN with IKEv2
Configurer les Périphériques Client pour Mobile VPN with IKEv2
Configurer les Périphériques iOS et macOS pour Mobile VPN with IKEv2
Configurer les Périphériques Windows pour Mobile VPN with IKEv2
Configurer les Périphériques Android pour Mobile VPN with IKEv2