Planifier Votre Configuration Mobile VPN with SSL

Avant de configurer Mobile VPN with SSL, il est important de comprendre ces éléments de la configuration de Mobile VPN with SSL :

Adresse IP dynamique
Authentification
Stratégies
Port et protocole
Paramètres partagés
Options de trafic de tunnel — Routé ou Ponté
Résolution de nom
Téléchargements client

Pour configurer Mobile VPN with SSL, consultez Utiliser un Assistant pour Configurer le Firebox pour Mobile VPN with SSL ou Configurer Manuellement le Firebox pour Mobile VPN with SSL.

Adresse IP dynamique

Si votre Firebox a une adresse IP dynamique, vous pouvez spécifier un nom de domaine pour les connexions client au lieu d'une adresse IP. Pour se connecter au mobile VPN, les utilisateurs spécifient le nom de domaine dans les paramètres du client mobile VPN. Assurez-vous d'enregistrer l'adresse IP externe de votre Firebox auprès d'un fournisseur de services DNS dynamique. Facultativement, vous pouvez activer le DNS dynamique sur le Firebox pour envoyer automatiquement des mises à jour d'adresse IP à un fournisseur de services DNS dynamique pris en charge par le Firebox. Pour de plus amples informations concernant le DNS dynamique, consultez À propos du service DNS dynamique.

Authentification

Mobile VPN with SSL prend en charge tous les types d'authentification compatibles avec le Firebox. Pour plus d'informations sur les types d'authentification prises en charge, consultez Types de Serveurs d'Authentification. Pour de plus amples informations concernant les serveurs d'authentification externes de Mobile VPN with SSL, consultez la section Configurer le Serveur d'Authentification externe.

Pour apprendre à spécifier le serveur d'authentification dans le client VPN SSL, consultez la section Télécharger, Installer et Connecter le Client Mobile VPN with SSL.

Authentication Multifacteur (MFA)

Vous pouvez utiliser AuthPoint, la solution de MFA cloud de WatchGuard, pour fournir une authentification multifacteur aux utilisateurs VPN SSL. Vous pouvez utiliser l'une des deux méthodes suivantes :

Fireware v12.3 ou les versions ultérieures

Vous pouvez configurer le Firebox de manière à transmettre les requêtes d'authentification des utilisateurs VPN SSL directement à AuthPoint. Après avoir configuré les paramètres requis dans AuthPoint, AuthPoint apparaît dans la liste des serveurs d'authentification sur le Firebox. Dans la configuration Mobile VPN with SSL, vous devez sélectionner AuthPoint comme serveur d'authentification. Cette intégration prend en charge le client WatchGuard Mobile VPN with SSL (v12.7 ou les versions ultérieures uniquement) et le client OpenVPN.

Pour obtenir un exemple de configuration, consultez la section de Fireware v12.7 ou d'une version ultérieure du guide d'intégration d'Intégration de Firebox Mobile VPN with SSL avec AuthPoint.

Si vous avez configuré Mobile VPN with SSL pour la MFA AuthPoint dans Fireware v12.6.x ou une version antérieure, vous pouvez maintenir cette intégration pendant que vous configurez une intégration mise à jour dans Fireware v12.7 ou une version ultérieure. Pour obtenir les informations de conversion des configurations, consultez la section « Convertir les Configurations de Fireware 12.6.x ou d'une Version Antérieure » dans Configurer la MFA pour un Firebox.

Fireware v12.6.4 et versions antérieures

Sur le Firebox, vous devez spécifier un serveur RADIUS dans la configuration Mobile VPN with SSL. AuthPoint ne s'affiche pas dans la liste des serveurs d'authentification du Firebox.

Pour obtenir un exemple de configuration, consultez la section de Fireware v12.6.x ou d'une version antérieure du guide d'intégration d'Intégration de Firebox Mobile VPN with SSL avec AuthPoint.

Pour obtenir des informations générales concernant le flux de travail de la MFA AuthPoint pour Mobile VPN with SSL, consultez la section Configurer la MFA pour un Firebox.

Vous pouvez également utiliser des solutions de MFA tierces si votre serveur RADIUS prend en charge l'authentification multifacteur ou à deux facteurs. Pour de plus amples informations concernant la mise en œuvre d'une MFA tierce, consultez la section Utiliser une Authentification Multifacteur (MFA) avec les Mobile VPN.

Groupes d'Utilisateurs

Lorsque vous configurez Mobile VPN with SSL, le Firebox crée automatiquement un groupe d'utilisateurs Utilisateurs-SSLVPN. Vous pouvez utiliser le groupe par défaut ou créer de nouveaux groupes en les nommant de manière identique aux groupes d'utilisateurs de vos serveurs d'authentification. Pour de plus amples informations concernant les groupes d'utilisateurs, consultez la section Configurer Manuellement le Firebox pour Mobile VPN with SSL.

Stratégies

Lorsque vous activez Mobile VPN with SSL, le Firebox crée automatiquement deux stratégies : WatchGuard SSLVPN et Autoriser les Utilisateurs-SSLVPN.

La stratégie Autoriser les Utilisateurs-SSLVPN permet aux groupes et aux utilisateurs que vous avez configurés pour l'authentification SSL d'accéder aux ressources de votre réseau. Par défaut, la liste À de la stratégie comprend uniquement l'alias Tout, ce qui signifie que cette stratégie autorise les utilisateurs Mobile VPN with SSL à accéder à toutes les ressources réseau.

Nous vous recommandons de limiter les ressources réseau auxquelles les utilisateurs Mobile VPN with SSL peuvent accéder via le VPN. Pour ce faire, vous pouvez remplacer la stratégie Autoriser les Utilisateurs-SSL. Pour obtenir les instructions de remplacement de la stratégie SSL ainsi que de plus amples informations concernant les stratégies SSL, consultez la section À propos des Stratégies Mobile VPN with SSL.

Port et Protocole

Le protocole et le port par défaut de Mobile VPN with SSL est le port TCP 443, généralement ouvert sur la plupart des réseaux. Pour spécifier un autre port ou protocole, consultez la section Choisir le Port et le Protocole pour Mobile VPN with SSL.

Paramètres partagés

La stratégie WatchGuard SSLVPN est partagée par Management Tunnel over SSL, BOVPN over TLS en mode Serveur, Mobile VPN with SSL et Access Portal. Pour plus d'informations sur cette stratégie, consultez Précédence et Héritage des Paramètres SSL/TLS.

Différentes fonctionnalités du Firebox utilisent SSL/TLS pour établir des communications sécurisées et partager le même serveur OpenVPN. Par ordre de priorité décroissante, les fonctionnalités partageant le serveur OpenVPN sont les suivantes :

Management Tunnel over SSL sur les périphériques hub
BOVPN over TLS en mode Serveur
Mobile VPN with SSL
Access Portal

Les fonctionnalités présentant une priorité faible héritent de certains paramètres SSL/TLS des fonctionnalités activées présentant une priorité supérieure. Les paramètres partagés ne sont pas configurables pour les fonctionnalités présentant une priorité faible.

Exemple — Management Tunnel et Mobile VPN with SSL activés

Lorsque vous activez Management Tunnel over SSL sur WSM Management Server, certains paramètres partagés par les tunnels Mobile VPN with SSL sont désormais gérés par Management Server. Vous ne pouvez pas modifier ces paramètres dans la configuration Mobile VPN with SSL. Ces paramètres incluent les adresses IP Firebox, la méthode réseau, le pool d'adresses IP virtuelles, les ressources VPN, le canal de données et le canal de configuration. Vous pouvez aussi désactiver le serveur d'authentification Firebox-DB, requis pour l'authentification au Tunnel de gestion. Vous devez modifier ces paramètres partagés dans les propriétés du périphérique sur le serveur Management Server.

Exemple — Serveur BOVPN over TLS et Mobile VPN with SSL activés

Lorsque vous activez votre Firebox en tant que serveur BOVPN over TLS, certains paramètres Mobile VPN with SSL sont hérités des paramètres du Serveur BOVPN over TLS. Vous ne pouvez pas modifier ces paramètres dans la configuration Mobile VPN with SSL. Ces paramètres incluent les adresses IP Firebox, la méthode réseau, le pool d'adresses IP virtuelles, les ressources VPN, le canal de données, les paramètres d'authentification et de chiffrement ainsi que les paramètres de délai.

Sur Fireware v12.1.x, les paramètres partagés par Access Portal et Mobile VPN with SSL s'affichent sur la page Portail VPN. Le Canal de Données de Configuration de Mobile VPN with SSL a été renommé Port VPN Portal et figure dans les paramètres du Portail VPN. Sur Fireware v12.2, les paramètres du Portail VPN figurent désormais dans les configurations Access Portal et Mobile VPN with SSL. Pour obtenir les instructions de configuration s'appliquant à Fireware v12.1.x, consultez la section Configurer les paramètres du Portail VPN dans Fireware v12.1.x de la Base de Connaissances WatchGuard.

Options de trafic de tunnel

Avant de configurer Mobile VPN with SSL, choisissez la façon dont le Firebox doit envoyer ses données via le tunnel VPN. En fonction de l'option choisie, vous devrez parfois modifier votre configuration réseau avant d'activer Mobile VPN with SSL.

Vous pouvez configurer Mobile VPN with SSL pour utiliser une de ces méthodes pour prendre en charge le trafic VPN vers votre réseau :

Trafic VPN routé

Il s'agit de la sélection par défaut. Lorsque cette option est activée, le Firebox transmet le trafic du tunnel VPN vers tous les réseaux locaux approuvés, facultatifs et personnalisés ou vers les ressources réseau que vous spécifiez.

Trafic VPN ponté

Cette option vous permet d'établir un pont entre le trafic VPN SSL et un réseau approuvé, facultatif ou personnalisé. Lorsque vous sélectionnez cette option, vous ne pouvez pas filtrer le trafic entre les utilisateurs VPN SSL et le réseau auquel le trafic VPN SSL est relié par un pont. Lorsque vous pontez le trafic VPN vers un réseau, les utilisateurs VPN SSL se trouvent dans la même zone de sécurité que les autres utilisateurs du réseau ponté. Le trafic pour ces utilisateurs mobiles est géré par les mêmes stratégies de sécurité que le trafic des autres utilisateurs du réseau ponté.

Par exemple, si vous pontez le trafic VPN vers une interface approuvée, toutes les stratégies autorisant le trafic de l'alias Tout-Approuvé autorisent également le trafic des utilisateurs se connectant au réseau avec Mobile VPN with SSL. L'option Pont de Trafic VPN n'étend pas le trafic VPN SSL vers d'autres réseaux secondaires du pont réseau sélectionné.

Vous pouvez ponter le trafic VPN uniquement vers un pont LAN.

Pour plus d'informations sur la configuration d'une interface avec pont, consultez Créer une Configuration de Pont Réseau.

Si vous sélectionnez Ponter le Trafic VPN dans la configuration de Mobile VPN with SSL d'une machine virtuelle FireboxV ou XTMv, vous devez activer le mode de proximité sur le commutateur virtuel (vSwitch) correspondant dans VMware.

Si vous configurez Mobile VPN with SSL dans le Web UI, ne changez pas en interface avec pont l'interface que vous avez utilisé pour vous connecter au Web UI. Cela provoquerait une perte immédiate de la connexion de gestion du périphérique. Dans ce cas, vous devez utiliser une autre interface configurée pour vous reconnecter à Fireware Web UI.

Si vous souhaitez remplacer l'interface que vous utilisez pour gérer le périphérique par une interface de pont, nous vous recommandons d'effectuer cette modification dans Policy Manager. Vous pouvez apporter l'ensemble des modifications à la configuration de l'interface avant d'enregistrer le fichier de configuration mis à jour sur le périphérique.

Pour modifier l'interface approuvée ou facultative utilisée pour la gestion et choisir une interface de pont dans Fireware Web UI :

Configurez une autre interface approuvée ou facultative pour l'utiliser comme interface de gestion temporaire.
Connectez l'ordinateur de gestion à la nouvelle interface et connectez-vous au Web UI.
Modifiez l'interface de gestion originale à l'interface de pont et configurez un pont LAN qui comporte cette interface.
Connectez l'ordinateur de gestion à l'interface de gestion originale.
Désactivez l'interface de gestion temporaire.

Pour des instructions détaillées, consultez Créer une Configuration de Pont Réseau.

Pour plus d'informations sur l'utilisation de DNS pour des requêtes via une connexion mobile VPN, consultez DNS et Mobile VPN.

Résolution de Noms

Vous devez déterminer la méthode de résolution de noms des utilisateurs mobile VPN. Pour plus d'informations, consultez Résolution de nom pour Mobile VPN with SSL.

Téléchargements Client

Choisissez la manière dont vos utilisateurs doivent obtenir le logiciel client Mobile VPN with SSL :

Page de téléchargements logiciels hébergée sur le Firebox
Page de téléchargements logiciels sur le site Web de WatchGuard
Distribution manuelle

Page Téléchargements Logiciels Hébergée sur le Firebox

Par défaut, les utilisateurs peuvent télécharger le client sur la page des téléchargements logiciels de Mobile VPN with SSL à l'adresse https://[adresse IP du Firebox]:[port]/sslvpn.html. Pour de plus amples informations concernant cette page, consultez la section Télécharger, Installer et Connecter le Client Mobile VPN with SSL.

Dans Fireware v12.5.4 et les versions ultérieures, vous pouvez désactiver la page de téléchargements logiciels de Mobile VPN with SSL. Vous pouvez par exemple désactiver cette page pour respecter une stratégie de sécurité d'entreprise. Pour désactiver la page des téléchargements logiciels, vous devez saisir les commandes CLI suivantes :

WG#config

WG(config)#policy

WG(config/policy)#no sslvpn web-download enable

Pour activer la page, utilisez :

WG#config

WG(config)#policy

WG(config/policy)#sslvpn web-download enable

Cette option n'est pas disponible dans Fireware Web UI ni Policy Manager.

Pour obtenir des informations détaillées concernant la saisie de commandes dans la CLI, consultez la section Référence CLI Fireware.

Page Téléchargements Logiciels du Site Web De WatchGuard

Les utilisateurs peuvent télécharger la dernière version du logiciel Mobile VPN with SSL sur le site Web de WatchGuard.

Distribution Manuelle

Vous pouvez installer manuellement le client sur le périphérique d'un utilisateur. Pour plus d'informations, consultez Distribuer et installer manuellement le logiciel client et le fichier de configuration Mobile VPN with SSL.

Voir Également

Utiliser un Assistant pour Configurer le Firebox pour Mobile VPN with SSL

Configurer Manuellement le Firebox pour Mobile VPN with SSL

Utiliser une Authentification Multifacteur (MFA) avec les Mobile VPN

© 2023 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et/ou dans d'autres pays. Toutes les autres marques appartiennent à leurs propriétaires respectifs.