Utiliser l'Assistant d'Installation WatchGuard L2TP Setup Wizard

L'assistant WatchGuard L2TP Setup Wizard vous permet d'activer et de configurer Mobile VPN with L2TP sur le Firebox. L'assistant d'installation est disponible uniquement lorsque Mobile VPN with L2TP n'est pas activé. L'assistant vous invite à configurer les paramètres suivants :

  • Serveur d'authentification
  • Utilisateurs et groupes
  • Pool d'adresses IP virtuelles
  • Méthode d'authentification

Les paramètres ne figurant pas dans l'assistant sont définis selon leur valeur par défaut. Une fois l'assistant terminé, vous pouvez modifier la configuration de Mobile VPN with L2TP pour modifier les paramètres spécifiés dans l'assistant ainsi que d'autres paramètres.

Vous ne pouvez configurer Mobile VPN with L2TP si la configuration du périphérique dispose déjà d'une passerelle Branch Office VPN qui utilise le mode principal et dispose d'une passerelle distante avec une adresse IP dynamique.

Avant de Commencer

Serveur d'authentification

Vous devez configurer un serveur d'authentification pour l'authentification des utilisateurs L2TP avant d'activer Mobile VPN with L2TP. Assurez-vous que tous les utilisateurs et groupes que vous souhaitez utiliser sont ajoutés au serveur d'authentification. Lorsque vous configurez Mobile VPN with L2TP, vous sélectionnez un serveur d'authentification et spécifiez des utilisateurs et des groupes.

Mobile VPN with L2TP prend en charge deux méthodes d'authentification : l'authentification locale sur le Firebox (Firebox-DB) et RADIUS. Pour plus d'informations sur les méthodes d'authentification des utilisateurs prises en charge pour le L2TP, consultez À propos de l'Authentification des Utilisateurs Mobile VPN with L2TP.

Adresse IP dynamique

Si votre Firebox possède une adresse IP dynamique, vous pouvez configurer un DNS dynamique afin que les utilisateurs puissent spécifier un nom de domaine dans les paramètres client pour se connecter au VPN. Assurez-vous d'enregistrer l'adresse IP externe de votre Firebox auprès d'un fournisseur de services DNS dynamique. Facultativement, vous pouvez activer le DNS dynamique sur le Firebox pour envoyer automatiquement des mises à jour d'adresse IP à un fournisseur de services DNS dynamique pris en charge par le Firebox. Pour de plus amples informations concernant le DNS dynamique, consultez À propos du service DNS dynamique.

Paramètres par défaut

IPSec

Lorsque vous activez Mobile VPN with L2TP, IPSec est activé par défaut avec ces paramètres IPSec :

Transformations de Phase 1 :

  • SHA-1, AES(256) et Groupe Diffie-Hellman 2
  • SHA-1, AES(256) et Groupe Diffie-Hellman 20
  • SHA2-256, AES(256) et Groupe Diffie-Hellman 14

La durée de vie de la SA est de 8 heures pour toutes les transformations.

Propositions de Phase 2 :

  • ESP-AES-SHA1
  • ESP-AES128-SHA1
  • ESP-AES256-SHA256

La confidentialité PFS est désactivée par défaut.

Pool d'adresses IP

Par défaut, le pool d'adresses Mobile VPN with L2TP est 192.168.115.0/24.

Nous vous recommandons de ne pas utiliser les plages de réseaux privés 192.168.0.0/24 ou 192.168.1.0/24 sur vos réseaux d'entreprise ou invité. Ces plages sont couramment utilisées sur les réseaux domestiques. Si un utilisateur mobile VPN a une plage de réseau domestique qui chevauche la plage de votre réseau d'entreprise, le trafic de l'utilisateur ne passe pas par le tunnel VPN. Pour résoudre ce problème, nous vous recommandons de Migrer vers une Nouvelle Plage Réseau Standard.

Pour plus d'informations sur les pools d'adresses IP virtuelles, consultez Adresses IP Virtuelles et Mobile VPN.

Groupe d'Utilisateurs

Lorsque vous activez Mobile VPN with L2TP, le Firebox crée automatiquement un groupe d'utilisateurs nommé Utilisateurs-L2TP. Vous pouvez ajouter d'autres utilisateurs et groupes dans la configuration L2TP. Le Firebox inclut automatiquement ces utilisateurs et groupes dans le groupe Utilisateurs-L2TP.

Pour plus d'informations sur l'authentification des utilisateurs et l'authentification multifacteur, consultez À propos de l'Authentification des Utilisateurs Mobile VPN with L2TP.

Stratégie

Lorsque vous activez Mobile VPN with L2TP, le Firebox crée automatiquement trois stratégies : Autoriser-IKE-vers-Firebox (une stratégie IPSec masquée), Autoriser les Utilisateurs-L2TP et WatchGuard L2TP.

La stratégie Autoriser les Utilisateurs-L2TP autoriser les groupes et les utilisateurs que vous avez configurés pour l'authentification L2TP à accéder aux ressources de votre réseau. Par défaut, la liste À de la stratégie comprend uniquement l'alias Tout, ce qui signifie que cette stratégie autorise les utilisateurs Mobile VPN with L2TP à accéder à toutes les ressources réseau.

Nous vous recommandons de limiter les ressources réseau auxquelles les utilisateurs Mobile VPN with L2TP peuvent accéder via le VPN. Pour ce faire, vous pouvez remplacer la stratégie Autoriser les Utilisateurs-L2TP. Pour obtenir les instructions de remplacement de la stratégie Autoriser les Utilisateurs-L2TP ainsi que de plus amples informations concernant les stratégies L2TP, consultez la section À propos des Stratégies de L2TP.

Autres paramètres

Une fois l'assistant terminé, vous pouvez configurer les paramètres Mobile VPN with L2TP supplémentaires ne figurant pas dans l'assistant. Pour obtenir des informations concernant d'autres paramètres, consultez Modifier la Configuration Mobile VPN with L2TP.

Utiliser l'Assistant L2TP Setup Wizard

Les étapes de démarrage de l'assistant ont changé dans Fireware v12.3. Pour démarrer l'assistant dans Fireware Web UI v12.2.1 ou une version antérieure, sélectionnez VPN > Mobile VPN with L2TP et cliquez sur Exécuter l'Assistant. Pour démarrer l'assistant dans Policy Manager v12.2.1 ou une version antérieure, sélectionnez VPN > Mobile VPN > L2TP > Activer.

Pour configurer d'autres paramètres, modifiez la configuration de Mobile VPN with L2TP.

Lorsque vous activez Mobile VPN with L2TP, deux stratégies sont automatiquement ajoutées pour autoriser le trafic L2TP. Pour plus d'informations, consultez À propos des Stratégies de L2TP.

Voir Également

Mobile VPN with L2TP

Modifier la Configuration Mobile VPN with L2TP

Dépanner Mobile VPN with L2TP