Modifier la Configuration Mobile VPN with L2TP

Nous vous conseillons d'utiliser l'assistant d'installation WatchGuard L2TP Setup Wizard pour effectuer une première installation d'un Mobile VPN with L2TP. Pour plus d'informations, consultez Utiliser l'Assistant d'Installation WatchGuard L2TP Setup Wizard.

Vous ne pouvez activer IPSec dans la configuration Mobile VPN with L2TP si la configuration du périphérique dispose déjà d'une passerelle VPN Branch Office qui utilise le mode principal et d'une passerelle distante avec une adresse IP dynamique. Lorsque vous activez Mobile VPN with L2TP, les paramètres IPSec dans la configuration L2TP sont activés par défaut. Si IPSec ne peut être activé à cause d'une configuration de Branch Office VPN existante, un message d'alerte s'affiche lorsque vous activez Mobile VPN with L2TP. Vous pouvez choisir d'activer L2TP sans IPSec. Cette solution moins sécurisée n'est pas recommandée.

Modifier le Pool d'Adresses IP Virtuelles

Dans l'onglet Réseau, le Pool d'Adresses IP Virtuelles affiche les adresses IP internes qui sont utilisées par les utilisateurs Mobile VPN with L2TP sur le tunnel. Le Firebox utilise ces adresses uniquement si cela est nécessaire. Le pool d'adresses IP virtuelles doit contenir au moins deux adresses IP.

Pour plus d'informations sur les adresses IP virtuelles, consultez Adresses IP Virtuelles et Mobile VPN.

Pour faire des ajouts au pool d'adresses IP virtuelles :

  1. Dans la section Pool d'Adresses IP Virtuelles, cliquez sur Ajouter.
    La boîte de dialogue Ajouter un Pool d'adresses apparaît.
  2. Dans la liste déroulante Choisir le type, choisissez l'une de ces options :
    • Hôte IPv4 — permet d'ajouter une seule adresse IPv4
    • Réseau IPv4 — permet d'ajouter une adresse réseau IPv4
    • Plage d'Hôtes IPv4 — permet d'ajouter une plage d'adresses IPv4
  3. Entrez l'adresse IP d'hôte, l'adresse IP réseau ou la plage d'adresses IP à ajouter.
  4. Cliquez sur OK.

Pour supprimer une adresse IP ou une plage d'adresses du pool d'adresses IP virtuelles :

  1. Sélectionnez l'adresse IP que vous voulez supprimer.
  2. Cliquez sur Supprimer.

Modifier les paramètres réseau

Vous pouvez configurer plusieurs paramètres réseau dans l'onglet Réseau de la boîte de dialogue Configuration de Mobile VPN with L2TP. Dans la plupart des configurations L2TP, les valeurs par défaut sont préférables. Nous vous conseillons de ne pas modifier ces valeurs, sauf si vous êtes certain que ce changement corrige un problème connu.

Les paramètres que vous pouvez configurer sont :

Délai de conservation d'activité

Ce paramètre spécifie la fréquence à laquelle le Firebox envoie le « Bonjour » L2TP. La valeur par défaut est 60 secondes.

Délai de retransmission

Ce paramètre indique la durée d'attente d'un accusé de réception du message par le Firebox. Un message sera à nouveau transmis si le Firebox ne reçoit pas d'accusé de réception dans ce délai. La valeur par défaut est 5 secondes.

Nombre maximal de nouvelles tentatives

Ce paramètre spécifie le nombre maximum de fois que le Firebox retransmettra un message. Si le nombre maximal de tentatives est dépassé, le Firebox ferme la connexion. La valeur par défaut est 5.

Maximum Transmission Unit (MTU)

Ce paramètre spécifie la taille maximum du paquet reçu dans la session PPP par le tunnel L2TP. La valeur par défaut est de 1 400 octets.

Maximum Receive Unit (MRU)

Ce paramètre spécifie la taille maximum du paquet envoyé dans la session PPP par le tunnel L2TP. La valeur par défaut est de 1 400 octets.

Modifier les Paramètres DNS

Dans Fireware v12.2.1 et les versions ultérieures, vous pouvez spécifier les paramètres DNS dans la configuration de Mobile VPN with L2TP. Dans l'onglet Réseau, vous pouvez sélectionner l'une des options suivantes :

Assigner les paramètres DNS/WINS réseau aux clients mobiles

Si vous sélectionnez cette option, les clients mobiles obtiennent les deux premiers serveurs DNS spécifiés dans le menu Réseau > Interfaces > DNS/WINS. Par exemple, si vous spécifiez le serveur DNS 10.0.2.53 dans les paramètres DNS/WINS Réseau, les clients Mobile VPN utilisent 10.0.2.53 comme serveur DNS. Vous pouvez spécifier jusqu'à trois serveurs DNS Réseau. Toutefois, les clients Mobile VPN utilisent uniquement les deux premiers de la liste.

Par défaut, le paramètre Assigner les paramètres DNS/WINS réseau aux clients mobiles est sélectionné pour les nouvelles configurations Mobile VPN.

Ne pas assigner de paramètres DNS ou WINS aux clients mobiles

Si vous sélectionnez cette option, les clients n'obtiennent pas les paramètres DNS du Firebox.

Assigner ces paramètres aux clients mobiles

Si vous sélectionnez cette option, les clients mobiles obtiennent les serveurs DNS que vous spécifiez dans cette section. Par exemple, si vous spécifiez 10.0.2.53 comme serveur DNS, les clients mobiles utilisent 10.0.2.53 comme serveur DNS.

Vous pouvez spécifier jusqu'à deux adresses IP de serveur DNS.

Dans Fireware v12.2 et les versions antérieures, il est impossible de configurer les paramètres DNS dans la configuration Mobile VPN with L2TP. Les clients obtiennent automatiquement les serveurs DNS spécifiés dans les paramètres DNS/WINS Réseau (globaux) du Firebox. Les serveurs WINS et le suffixe du nom de domaine ne sont pas hérités. Vous pouvez spécifier jusqu'à trois serveurs DNS Réseau. Toutefois, les clients Mobile VPN utilisent uniquement les deux premiers de la liste. Pour de plus amples informations concernant les paramètres réseau DNS/WINS, consultez Configurer les Serveurs DNS et WINS.

Modifier les paramètres d'authentification

L'onglet Authentification vous permet de configurer les serveurs d'authentification ainsi que les utilisateurs et les groupes autorisés.

Configurer les Serveur d'Authentification (Fireware v12.5 et versions ultérieures)

Configurer les Serveur d'Authentification (Fireware v12.4.1 et versions antérieures)

Si vous sélectionnez plus d'un serveur d'authentification, les utilisateurs qui emploient le serveur d'authentification personnalisé doivent spécifier le serveur d'authentification ou le domaine comme faisant partir de leur nom d'utilisateur. Pour plus d'informations et d'exemples, consultez Se Connecter à Partir d'un Client L2TP VPN.

Configuration des utilisateurs et des groupes

Si vous utilisez Firebox-DB pour l'authentification, vous devez utiliser le groupe Utilisateurs-L2TP créé par défaut. Vous pouvez ajouter les noms d'autres groupes et utilisateurs utilisant Mobile VPN with L2TP. Pour chaque groupe ou utilisateur que vous ajoutez, vous pouvez sélectionner le serveur d'authentification où le groupe existe, ou sélectionner Tout si ce groupe existe sur plus d'un serveur d'authentification. Le nom du groupe ou de l'utilisateur que vous ajoutez doit exister sur le serveur d'authentification. Les noms de groupe et d'utilisateur sont sensibles à la casse et doivent correspondre exactement aux noms sur votre serveur d'authentification.

Pour configurer des utilisateurs et des groupes à authentifier avec Mobile VPN with L2TP, dans Fireware Web UI :

  1. Sélectionnez VPN >Mobile VPN.
  2. Dans la section L2TP, cliquez sur Configurer.
  3. Cliquer sur l'onglet Authentification.
  4. Dans la section Utilisateurs et Groupes, sélectionnez les utilisateurs et les groupes Mobile VPN with L2TP.
  5. Pour ajouter un nouvel utilisateur ou un nouveau groupe Firebox-DB, sélectionnez Firebox-DB dans la liste déroulante.
  6. Pour ajouter un nouvel utilisateur ou un nouveau groupe RADIUS, sélectionnez RADIUS dans la liste déroulante.
  7. Pour ajouter un nouvel utilisateur ou un nouveau groupe pour Firebox-DB et RADIUS, sélectionnez Tout dans la liste déroulante.
  8. Dans la liste déroulante adjacente, sélectionnez Utilisateur ou Groupe.
  9. Cliquez sur Ajouter.
    La boîte de dialogue Utilisateur Firebox, Groupe Firebox ou Ajouter un Utilisateur ou un Groupe s'affiche.
  10. Spécifiez les paramètres de l'utilisateur ou du groupe.
  11. (Facultatif) Dans Fireware v12.5.4 et versions ultérieures, pour activer Host Sensor Enforcement pour un groupe, cochez la case de ce groupe puis sélectionnez Oui. Pour désactiver Host Sensor Enforcement pour un groupe, cochez la case de ce groupe puis sélectionnez Non. Pour plus d'informations, consultez À propos de TDR Host Sensor Enforcement.

Pour configurer les utilisateurs et groupes à authentifier avec Mobile VPN with L2TP, dans Policy Manager :

  1. Sélectionnez VPN > Mobile VPN > L2TP .
  2. Cliquer sur l'onglet Authentification.
  3. Dans la section Utilisateurs et Groupes, sélectionnez les utilisateurs et les groupes Mobile VPN with L2TP.
  4. Pour ajouter un nouvel utilisateur ou groupe Firebox-DB, sélectionnez Nouveau > Utilisateur/Groupe Firebox-DB.
  5. Pour ajouter un nouvel utilisateur ou groupe RADIUS, sélectionnez Nouveau > Utilisateur/Groupe Externe.
    La boîte de dialogue Utilisateur Firebox, Groupe Firebox ou Ajouter un Utilisateur ou un Groupe s'affiche.
  6. Spécifiez les paramètres de l'utilisateur ou du groupe.
  7. (Facultatif) Dans Fireware v12.5.4 et versions ultérieures, pour activer Host Sensor Enforcement pour un groupe, cochez la case de ce groupe puis sélectionnez Oui. Pour désactiver Host Sensor Enforcement pour un groupe, cochez la case de ce groupe puis sélectionnez Non. Pour plus d'informations, consultez À propos de TDR Host Sensor Enforcement.

Pour plus d'informations sur les méthodes d'authentification des utilisateurs pour le L2TP, consultez À propos de l'Authentification des Utilisateurs Mobile VPN with L2TP.

Pour de plus amples informations concernant l'ajout d'utilisateurs Firebox-DB, consultez Définir un nouvel Utilisateur pour l'Authentification Firebox.

Pour de plus amples informations concernant l'ajout de groupes Firebox-DB, consultez Définir un nouveau Groupe pour l'Authentification Firebox.

Pour de plus amples informations concernant l'ajout d'utilisateurs et de groupes RADIUS, consultez Utiliser les Utilisateurs et Groupes dans les Stratégies.

Lorsque vous ajoutez un utilisateur ou un groupe et que vous sélectionnez Firebox-DB comme le serveur d'authentification, ceci n'ajoute pas automatiquement l'utilisateur ou le groupe à Firebox-DB. Vérifiez que tous les utilisateurs ou groupes que vous ajoutez qui utilisent l'authentification Firebox-DB sont aussi configurés dans les paramètres d'authentification Firebox. Pour plus d'informations, consultez Configurer Votre Firebox en tant que Serveur d'Authentification.

Modifier les paramètres L2TP IPSec

Mobile VPN with L2TP peut fonctionner avec ou sans l'IPSec activé. L2TP avec IPSec assure un chiffrement et une authentification forts. Le L2TP sans IPSec ne garantit pas une authentification et un chiffrement forts. Nous vous conseillons de ne pas désactiver IPSec dans la configuration Mobile VPN with L2TP.

Lorsque vous activez Mobile VPN with L2TP, IPSec est activé par défaut. Le seul paramètre IPSec que vous devez configurer est la méthode d'informations d'identification pour l'authentification. Les autres paramètres IPSec de Phase 1 sont définis à leur valeur par défaut. Les paramètres par défaut d'IPSec de Phase 1 et Phase 2 pour Mobile VPN with L2TP sont similaires aux paramètres par défaut de Phase 1 et Phase 2 dans un réseau Branch Office VPN. Vous pouvez les modifier pour les faire correspondre aux paramètres IPSec des clients L2TP que vous utilisez. Les paramètres IPSec des clients L2TP doivent correspondre aux paramètres dans la configuration Mobile VPN with L2TP.

Activer ou désactiver IPSec

  1. Sélectionnez l'onglet IPSec.
  2. Pour désactiver IPSec pour L2TP, décochez la case Activer IPSec.
    Pour activer IPSec pour L2TP, cochez la case Activer IPSec.

Configurer les paramètres IPSec de Phase 1

Lorsque IPSec est activé, vous devez configurer la méthode d'authentification de tunnel dans les paramètres IPSec de Phase 1. Vous pouvez configurer la méthode d'authentification de tunnel dans l'assistant WatchGuard L2TP Setup Wizard ou à partir de l'onglet IPSec.

Pour plus d'informations concernant les paramètres avancés de Phase 1, consultez Configurer les Paramètres Avancés de la Phase 1 de L2TP IPSec.

Configurer les paramètres IPSec de Phase 2

Les paramètres IPSec de Phase 2 comprennent les paramètres d'une association de sécurité (SA) définissant le mode de sécurisation des paquets de données lors de leur transmission entre deux endpoints. L'association de sécurité conserve toutes les informations nécessaires pour que Firebox sache comment traiter le trafic entre les endpoints. Les paramètres de l'association de sécurité peuvent comprendre les éléments suivants :

  • algorithmes de chiffrement et d'authentification utilisés ;
  • durée de vie de l'association de sécurité (en secondes ou en nombre d'octets, ou les deux) ;
  • adresse IP du périphérique pour lequel l'association de sécurité est établie (à savoir le périphérique qui gère le chiffrement et le déchiffrement IPSec de l'autre côté du VPN, et non l'ordinateur situé derrière qui envoie ou reçoit du trafic) ;
  • adresses IP source et de destination du trafic auquel l'association de sécurité s'applique ;
  • sens du trafic auquel l'association de sécurité s'applique (il y a une association de sécurité pour chaque sens, c'est-à-dire pour le trafic entrant et pour le trafic sortant).

Si les utilisateurs ne parviennent pas à se connecter au VPN ou aux ressources réseau, contrôlez les causes fréquentes suivantes :

  • Paramètres DNS incorrects
  • Stratégies désactivées ou supprimées
  • Paramètres de groupe d'utilisateurs incorrects
  • Chevauchement des pools d'adresses IP
  • Paramètres de route incorrects

Voir Également

Mobile VPN with L2TP

Dépanner Mobile VPN with L2TP