Utiliser l'Assistant d'Installation WatchGuard L2TP Setup Wizard
L'assistant WatchGuard L2TP Setup Wizard vous permet d'activer et de configurer Mobile VPN with L2TP sur le Firebox. L'assistant d'installation est disponible uniquement lorsque Mobile VPN with L2TP n'est pas activé. L'assistant vous invite à configurer les paramètres suivants :
- Serveur d'authentification
- Utilisateurs et groupes
- Pool d'adresses IP virtuelles
- Méthode d'authentification
Les paramètres ne figurant pas dans l'assistant sont définis selon leur valeur par défaut. Une fois l'assistant terminé, vous pouvez modifier la configuration de Mobile VPN with L2TP pour modifier les paramètres spécifiés dans l'assistant ainsi que d'autres paramètres.
Vous ne pouvez configurer Mobile VPN with L2TP si la configuration du périphérique dispose déjà d'une passerelle Branch Office VPN qui utilise le mode principal et dispose d'une passerelle distante avec une adresse IP dynamique.
Avant de Commencer
Serveur d'authentification
Vous devez configurer un serveur d'authentification pour l'authentification des utilisateurs L2TP avant d'activer Mobile VPN with L2TP. Assurez-vous que tous les utilisateurs et groupes que vous souhaitez utiliser sont ajoutés au serveur d'authentification. Lorsque vous configurez Mobile VPN with L2TP, vous sélectionnez un serveur d'authentification et spécifiez des utilisateurs et des groupes.
Mobile VPN with L2TP prend en charge deux méthodes d'authentification : l'authentification locale sur le Firebox (Firebox-DB) et RADIUS. Pour plus d'informations sur les méthodes d'authentification des utilisateurs prises en charge pour le L2TP, consultez À propos de l'Authentification des Utilisateurs Mobile VPN with L2TP.
Adresse IP dynamique
Si votre Firebox possède une adresse IP dynamique, vous pouvez configurer un DNS dynamique afin que les utilisateurs puissent spécifier un nom de domaine dans les paramètres client pour se connecter au VPN. Assurez-vous d'enregistrer l'adresse IP externe de votre Firebox auprès d'un fournisseur de services DNS dynamique. Facultativement, vous pouvez activer le DNS dynamique sur le Firebox pour envoyer automatiquement des mises à jour d'adresse IP à un fournisseur de services DNS dynamique pris en charge par le Firebox. Pour de plus amples informations concernant le DNS dynamique, consultez À propos du service DNS dynamique.
Paramètres par défaut
IPSec
Lorsque vous activez Mobile VPN with L2TP, IPSec est activé par défaut avec ces paramètres IPSec :
Transformations de Phase 1 :
- SHA-1, AES(256) et Groupe Diffie-Hellman 2
- SHA-1, AES(256) et Groupe Diffie-Hellman 20
- SHA2-256, AES(256) et Groupe Diffie-Hellman 14
La durée de vie de la SA est de 8 heures pour toutes les transformations.
Propositions de Phase 2 :
- ESP-AES-SHA1
- ESP-AES128-SHA1
- ESP-AES256-SHA256
La confidentialité PFS est désactivée par défaut.
Pool d'adresses IP
Par défaut, le pool d'adresses Mobile VPN with L2TP est 192.168.115.0/24.
Nous vous recommandons de ne pas utiliser les plages de réseaux privés 192.168.0.0/24 ou 192.168.1.0/24 sur vos réseaux d'entreprise ou invité. Ces plages sont couramment utilisées sur les réseaux domestiques. Si un utilisateur mobile VPN a une plage de réseau domestique qui chevauche la plage de votre réseau d'entreprise, le trafic de l'utilisateur ne passe pas par le tunnel VPN. Pour résoudre ce problème, nous vous recommandons de Migrer vers une Nouvelle Plage Réseau Standard.
Pour plus d'informations sur les pools d'adresses IP virtuelles, consultez Adresses IP Virtuelles et Mobile VPN.
Groupe d'Utilisateurs
Lorsque vous activez Mobile VPN with L2TP, le Firebox crée automatiquement un groupe d'utilisateurs nommé Utilisateurs-L2TP. Vous pouvez ajouter d'autres utilisateurs et groupes dans la configuration L2TP. Le Firebox inclut automatiquement ces utilisateurs et groupes dans le groupe Utilisateurs-L2TP.
Pour plus d'informations sur l'authentification des utilisateurs et l'authentification multifacteur, consultez À propos de l'Authentification des Utilisateurs Mobile VPN with L2TP.
Stratégie
Lorsque vous activez Mobile VPN with L2TP, le Firebox crée automatiquement trois stratégies : Autoriser-IKE-vers-Firebox (une stratégie IPSec masquée), Autoriser les Utilisateurs-L2TP et WatchGuard L2TP.
La stratégie Autoriser les Utilisateurs-L2TP autoriser les groupes et les utilisateurs que vous avez configurés pour l'authentification L2TP à accéder aux ressources de votre réseau. Par défaut, la liste À de la stratégie comprend uniquement l'alias Tout, ce qui signifie que cette stratégie autorise les utilisateurs Mobile VPN with L2TP à accéder à toutes les ressources réseau.
Nous vous recommandons de limiter les ressources réseau auxquelles les utilisateurs Mobile VPN with L2TP peuvent accéder via le VPN. Pour ce faire, vous pouvez remplacer la stratégie Autoriser les Utilisateurs-L2TP. Pour obtenir les instructions de remplacement de la stratégie Autoriser les Utilisateurs-L2TP ainsi que de plus amples informations concernant les stratégies L2TP, consultez la section À propos des Stratégies de L2TP.
Autres paramètres
Une fois l'assistant terminé, vous pouvez configurer les paramètres Mobile VPN with L2TP supplémentaires ne figurant pas dans l'assistant. Pour obtenir des informations concernant d'autres paramètres, consultez Modifier la Configuration Mobile VPN with L2TP.
Utiliser l'Assistant L2TP Setup Wizard
Les étapes de démarrage de l'assistant ont changé dans Fireware v12.3. Pour démarrer l'assistant dans Fireware Web UI v12.2.1 ou une version antérieure, sélectionnez VPN > Mobile VPN with L2TP et cliquez sur Exécuter l'Assistant. Pour démarrer l'assistant dans Policy Manager v12.2.1 ou une version antérieure, sélectionnez VPN > Mobile VPN > L2TP > Activer.
- Sélectionnez VPN >Mobile VPN.
- Dans la section L2TP, cliquez sur Lancer l'Assistant.
L'assistant Mobile VPN with L2TP s'ouvre. - Cliquez sur Suivant.
Une liste des serveurs d'authentification apparaît.
- Dans la liste déroulante Serveur d'Authentification, sélectionnez un serveur.
- Cliquez sur Ajouter. Vous pouvez ajouter la base de données interne du Firebox (Firebox-DB) ainsi qu'un ou plusieurs serveurs RADIUS.
Pour plus d'informations sur les méthodes d'authentification des utilisateurs pour le L2TP, consultez À propos de l'Authentification des Utilisateurs Mobile VPN with L2TP. - Pour spécifier un autre serveur par défaut, sélectionnez le serveur puis cliquez sur Monter. Le premier serveur de la liste est le serveur par défaut.
Si les utilisateurs ne spécifient pas le serveur d'authentification comme faisant partie de leur nom d'utilisateur lorsqu'ils s'authentifient depuis un client L2TP, Mobile VPN with L2TP utilise le serveur d'authentification par défaut.
Si vous sélectionnez plus d'un serveur d'authentification, les utilisateurs qui emploient le serveur d'authentification personnalisé doivent spécifier le serveur d'authentification ou le domaine comme faisant partir de leur nom d'utilisateur. Pour plus d'informations et d'exemples, consultez Se Connecter à Partir d'un Client L2TP VPN.
- Cliquez sur Suivant.
La page Utilisateurs et Groupes d'Authentification s'affiche. Le groupe Utilisateurs-L2TP est automatiquement ajouté par défaut.
- Sélectionnez les utilisateurs ou les groupes pour Mobile VPN with L2TP.
- (Facultatif) Dans Fireware v12.5.4 et versions ultérieures, pour activer Host Sensor Enforcement pour un groupe, cochez la case de ce groupe puis sélectionnez Oui. Pour désactiver Host Sensor Enforcement pour un groupe, cochez la case de ce groupe puis sélectionnez Non. Pour plus d'informations, consultez À propos de TDR Host Sensor Enforcement.
- Pour ajouter de nouveaux utilisateurs ou groupes à authentifier avec Mobile VPN with L2TP :
- Dans la section Créer un nouveau, dans la première liste déroulante, sélectionnez Tout, Firebox-DB ou RADIUS.
- Dans la liste déroulante adjacente, sélectionnez Utilisateur ou Groupe.
- Cliquez sur Ajouter.
- Si vous avez sélectionné Tout ou RADIUS pour le serveur d'authentification, configurez les paramètres dans la boite de dialogue Ajouter un utilisateur ou un groupe.
- (Facultatif) Dans Fireware v12.5.4 ou une version ultérieure, pour activer Host Sensor Enforcement pour un groupe, sélectionnez Activer Host Sensor Enforcement. Pour plus d'informations, consultez À propos de TDR Host Sensor Enforcement.
- Si vous avez sélectionné Firebox-DB pour le serveur d'authentification, configurez les paramètres dans la boite de dialogue Utilisateur Firebox ou Groupe Firebox.
- (Facultatif) Dans Fireware v12.5.4 ou une version ultérieure, pour activer Host Sensor Enforcement pour un groupe, sélectionnez Activer Host Sensor Enforcement. Pour plus d'informations, consultez À propos de TDR Host Sensor Enforcement.
Si vous utilisez Firebox-DB pour l'authentification, vous devez utiliser le groupe Utilisateurs-L2TP créé par défaut. Vous pouvez ajouter les noms d'autres groupes et utilisateurs utilisant Mobile VPN with L2TP. Pour chaque groupe ou utilisateur que vous ajoutez, vous pouvez sélectionner le serveur d'authentification où le groupe existe, ou sélectionner Tout si ce groupe existe sur plus d'un serveur d'authentification. Le nom du groupe ou de l'utilisateur que vous ajoutez doit exister sur le serveur d'authentification. Les noms de groupe et d'utilisateur sont sensibles à la casse et doivent correspondre exactement aux noms sur votre serveur d'authentification.
- Après avoir configuré les utilisateurs et les groupes, cliquez sur Suivant.
La page Pool d'Adresses IP Virtuelles s'affiche. Par défaut, le réseau 192.168.115.0/24 apparait dans la liste.
- Pour ajouter un nouveau pool d'adresses IP, cliquez sur Ajouter.
La boîte de dialogue Ajouter un Pool d'adresses apparaît.
- La liste déroulante Choisir le Type vous permet d'ajouter une adresse IPv4 d'hôte, une adresse réseau ou une plage d'adresses. Vous devez ajouter au moins deux adresses IP au pool d'adresses IP virtuelles. Entrez l'adresse ou la plage IP et cliquez sur OK.
L'adresse est ajoutée au pool d'adresses IP virtuelles.
Pour plus d'informations sur les pools d'adresses IP virtuelles, consultez Adresses IP Virtuelles et Mobile VPN.
- Après avoir défini le pool d'adresses IP virtuelles, cliquez sur Suivant.
La page Méthode d'Authentification du Tunnel s'affiche.
- Sélectionnez une option pour l'authentification de tunnel IPSec. Deux options sont possibles :
Utiliser une clé pré-partagée
Tapez ou collez la clé partagée. Vous devez utiliser la même clé pré-partagée dans les paramètres IPSec sur le client L2TP.
Utiliser Firebox Certificate d'IPSec
Sélectionnez le certificat à utiliser dans le tableau. Vous devez avoir déjà importé un certificat dans le Firebox pour pouvoir utiliser cette option.
Pour utiliser des certificats pour l'authentification, vous devez installer le certificat sur tous les périphériques désirant se connecter.
Pour plus d'informations, consultez Certificats pour l'Authentification des Tunnels Mobile VPN with L2TP.
- Cliquez sur Suivant.
- Cliquez sur Terminer pour enregistrer la configuration et quitter l'assistant.
- Sélectionnez VPN > Mobile VPN > L2TP.
L'assistant WatchGuard L2TP Setup Wizard s'affiche. - Cliquez sur Suivant.
Une liste des serveurs d'authentification configurés apparaît.
- Cochez la case de chaque serveur d'authentification que vous souhaitez utiliser pour l'authentification des utilisateurs avec Mobile VPN with L2TP. Vous pouvez ajouter la base de données interne du Firebox (Firebox-DB) ainsi qu'un ou plusieurs serveurs RADIUS.
Pour plus d'informations sur les méthodes d'authentification des utilisateurs pour le L2TP, consultez À propos de l'Authentification des Utilisateurs Mobile VPN with L2TP
. - Pour spécifier un autre serveur par défaut, cochez la case correspondant au serveur puis cliquez sur Définir par Défaut.
Si les utilisateurs ne spécifient pas le serveur d'authentification comme faisant partie de leur nom d'utilisateur lorsqu'ils s'authentifient depuis un client L2TP, Mobile VPN with L2TP utilise le serveur d'authentification par défaut.
Si vous sélectionnez plus d'un serveur d'authentification, les utilisateurs qui emploient le serveur d'authentification personnalisé doivent spécifier le serveur d'authentification ou le domaine comme faisant partir de leur nom d'utilisateur. Pour plus d'informations et d'exemples, consultez Se Connecter à Partir d'un Client L2TP VPN.
- Après avoir sélectionné les serveurs d'authentification, cliquez sur Suivant.
La page Ajouter des utilisateurs et des groupes s'affiche. Le groupe Utilisateurs-L2TP est automatiquement ajouté par défaut.
- Sélectionnez les utilisateurs ou les groupes pour Mobile VPN with L2TP.
- (Facultatif) Dans Fireware v12.5.4 et versions ultérieures, pour activer Host Sensor Enforcement pour un groupe, cochez la case Host Sensor Enforcement de ce groupe. Pour plus d'informations, consultez À propos de TDR Host Sensor Enforcement.
- Pour ajouter de nouveaux utilisateurs ou groupes à authentifier avec Mobile VPN with L2TP :
- Cliquez sur Nouveau.
- Sélectionnez Utilisateur/Groupe Firebox-DB ou Utilisateur/Groupe externe.
- Si vous avez sélectionné Utilisateur/Groupe Firebox-DB pour le serveur d'authentification, suivez les instructions des sections Définir un Nouvel Utilisateur pour l'Authentification Firebox ou Définir un Nouveau Groupe pour l'Authentification Firebox pour ajouter un nouvel utilisateur ou groupe.
- Si vous avez sélectionné Utilisateur/Groupe Externe, configurez les paramètres dans la boite de dialogue Ajouter un Utilisateur ou un Groupe.
- (Facultatif) Dans Fireware v12.5.4 et versions ultérieures, pour activer Host Sensor Enforcement pour un groupe, cochez la case Host Sensor Enforcement de ce groupe. Pour plus d'informations, consultez À propos de TDR Host Sensor Enforcement.
Si vous utilisez Firebox-DB pour l'authentification, vous devez utiliser le groupe Utilisateurs-L2TP créé par défaut. Vous pouvez ajouter les noms d'autres groupes et utilisateurs utilisant Mobile VPN with L2TP. Pour chaque groupe ou utilisateur que vous ajoutez, vous pouvez sélectionner le serveur d'authentification où le groupe existe, ou sélectionner Tout si ce groupe existe sur plus d'un serveur d'authentification. Le nom du groupe ou de l'utilisateur que vous ajoutez doit exister sur le serveur d'authentification. Les noms de groupe et d'utilisateur sont sensibles à la casse et doivent correspondre exactement aux noms sur votre serveur d'authentification.
- Après avoir configuré les utilisateurs et les groupes, cliquez sur Suivant.
La page Configurer les ressources autorisées s'affiche.
Les ressources autorisées déterminent ce que l'assistant met dans la section Vers de la stratégie Autoriser Utilisateurs-L2TP qui est générée de manière automatique. Si vous ne limitez pas l'accès à des ressources spécifiques, la stratégie Autoriser Utilisateurs-L2TP autorise l'accès à Tous.
- Pour limiter l'accès, sélectionnez Limiter l'accès aux ressources spécifiées ci-dessous.
- Cliquez sur Ajouter pour ajouter des plages d'adresses IP réseau, des alias ou d'autres ressources auxquelles vous souhaitez que les utilisateurs de Mobile VPN with L2TP aient accès.
- Après avoir configuré les ressources autorisées, cliquez sur Suivant.
La page Pool d'Adresses IP Virtuelles s'affiche. Par défaut, le réseau 192.168.115.0/24 apparait dans la liste.
- Cliquez sur Ajouter pour ajouter une adresse d'hôte IPv4, une adresse réseau ou une plage d'adresses. Vous devez ajouter au moins deux adresses IP au pool d'adresses IP virtuelles.
Pour plus d'informations sur les pools d'adresses IP virtuelles, consultez Adresses IP Virtuelles et Mobile VPN.
- Après avoir défini le pool d'adresses IP virtuelles, cliquez sur Suivant.
La page Sélectionner la méthode d'authentification de tunnel s'affiche.
- Sélectionnez une option pour l'authentification de tunnel IPSec. Deux options sont possibles :
Utiliser une clé pré-partagée
Tapez ou collez la clé partagée. Vous devez utiliser la même clé pré-partagée dans les paramètres IPSec sur le client L2TP.
Utiliser un certificat IPSec
Sélectionnez le certificat à utiliser dans le tableau. Vous devez avoir déjà importé un certificat dans le Firebox pour pouvoir utiliser cette option.
Pour plus d'informations, consultez Certificats pour l'Authentification des Tunnels Mobile VPN with L2TP.
- Cliquez sur Suivant.
L'assistant L2TP est terminé. - Si vous souhaitez modifier la configuration L2TP une fois que l'assistant a terminé, cochez la case Ouvrir la boîte de dialogue de configuration L2TP.
- Cliquez sur Terminer pour fermer l'assistant.
Mobile VPN with L2TP est activé et les stratégies L2TP requises sont automatiquement ajoutées.
Pour configurer d'autres paramètres, modifiez la configuration de Mobile VPN with L2TP.
Lorsque vous activez Mobile VPN with L2TP, deux stratégies sont automatiquement ajoutées pour autoriser le trafic L2TP. Pour plus d'informations, consultez À propos des Stratégies de L2TP.