VPN IPSec avec IKEv2 et Windows
Transcription
VPN IPSec avec IKEv2 et Windows
VPN IPSec avec IKEv2 et Windows Série firewall ZyXEL USG à partir de la version de firmware 4.10 Knowledge Base KB-3520 Août 2014 Studerus AG VPN IPSEC AVEC IKEV2 ET WINDOWS Windows 7 et 8 supportent IPSec IKEv2 avec authentification de certificat. La procédure est identique pour les deux variantes, avec quelques différences de boîtes de dialogues. Configuration de l’USG Après une installation de base réussie de l’USG, nous créons un nouveau certificat avec l’IP WAN en tant que Host IP Address. Après la création, nous ouvrons le certificat et l’enregistrons en local en tant que fichier avec la terminaison *.cer. Nous aurons besoin plus tard du certificat pour l’import sur le client VPN. Configuration > Object > Certificate > My Certificate > add Configuration > Object > Certificate > My Certificate > Edit > Export Certificate Only VPN IPSec avec IKEv2 et Windows 2 KB-3509 / SRU Créer un utilisateur ou un groupe d’utilisateurs : ce groupe d’utilisateurs est utilisé dans la Phase 1 EAP (Extended Authentication Protocol) du VPN IPSec. Configuration > Object > User/Group Pour les clients qui se connectent, nous créons un domaine d’adresses IP de 172.16.1.10 à 20. Ce domaine ne doit pas se recouper avec un sous-réseau dans l’environnement du client et de l’USG. Configuration > Object > Address > Add Ensuite, on passe aux deux règles pour la définition du VPN. VPN-Gateway pour la Phase 1 et VPNConnection pour la Phase 2. VPN IPSec avec IKEv2 et Windows 3 KB-3509 / SRU Configuration > VPN > IPSec VPN > VPN Gateway > Add VPN IPSec avec IKEv2 et Windows 4 KB-3509 / SRU Configuration > VPN > IPSec VPN > VPN Connection > Add VPN IPSec avec IKEv2 et Windows 5 KB-3509 / SRU Client Windows– Importer le certificat Nous importons sur le client VPN le certificat créé sur l’USG avec la Microsoft Management Console. Exécuter le fichier et démarrer MMC : File > Add/Remove Snap-In… puis ajouter le Snap-In Certificates. VPN IPSec avec IKEv2 et Windows 6 KB-3509 / SRU Computer account > Next Local computer > Finish La console liste maintenant les Certificates (Local computer) dans les Snap-Ins sélectionnés : VPN IPSec avec IKEv2 et Windows 7 KB-3509 / SRU Console Root > Certificates (Local Computer) > Trusted Root Certification Authorities > Certificates > All Tasks > Import... Windows 8 affiche une suite légèrement modifiée lors de l’import de certificats, mais le procédé est quasiment le même que pour Windows 7. Sélectionner le certificat qui a été créé et exporté précédemment sur l’USG et le charger dans la mémoire de certificats Trusted Root Certification Authorities : VPN IPSec avec IKEv2 et Windows 8 KB-3509 / SRU Client Windows– Paramétrer le VPN Conrol Panel > Network and Sharing Center > Set up a new connection or network > Connect to a workplace > Use my Internet connection (VPN) VPN IPSec avec IKEv2 et Windows 9 KB-3509 / SRU L’Adresse Internet correspond à l’IP WAN de l’USG. Le nom de destination décrit le profil. Avec les propriétés de la nouvelle connexion réseau, les paramètres de cryptage peuvent être modifiés : VPN IPSec avec IKEv2 et Windows 10 KB-3509 / SRU Avec le clic droit de la souris et Propriétés, nous continuons d’adapter le profil VPN. Dans le registre Sécurité nous déterminons le type de VPN en tant que IKEv2. L’Authentification se base sur EAP. Dans le registre Réseau nous désactivons IPv6. L’établissement du tunnel se démarre facilement via l’icône Réseau dans la barre des tâches : VPN IPSec avec IKEv2 et Windows 11 KB-3509 / SRU DEPANNAGE Description d’erreur : L’établissement de la connexion s’interrompt et affiche le numéro d’erreur 809. Cause : En standard, Windows 7 et Windows 8 ne supportent pas NAT-Traversal. NAT-T peut être nécessaire lorsque le serveur VPN se trouve derrière un routeur NAT. Solution : Démarrez en tant qu’administrateur l’éditeur d’enregistrement regedit. Créez un lien HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent et un nouveau DWORDWert (32-Bit) du nom de AssumeUDPEncapsulationContextOnSendRule. Saisissez dans le champ Valeur l’une des valeurs suivantes : 0 La valeur 0 (zéro) configure Windows de manière à ce qu’il NE PUISSE PAS paramétrer d’attributions de sécurité avec des serveurs derrière des appareils NAT. C’est la valeur standard. 1 La valeur 1 configure Windows de manière à ce qu’il puisse paramétrer les attributions de sécurité avec des serveurs derrière des appareils NAT. 2 La valeur 2 configure Windows de manière à ce qu’il puisse paramétrer les attributions de sécurité, lorsque le serveur et les ordinateurs clients VPN basés sur Windows Vista ou Windows Server 2008 se situent derrière des appareils NAT. Redémarrez l’ordinateur. Chemin pour Windows XP Service Pack 2 (SP2): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC Description d’erreur : Le message Connecte… apparaît mais rien ne se produit ensuite. Le log de l’USG n’affiche aucun message comme quoi une tentative de connexion a lieu. Cause : Le client VPN IPSec ZyXEL est installé sur l’ordinateur Windows. Les deux connexions ne peuvent pas être utilisées simultanément, c’est pourquoi la routine d’installation du client VPN désactive le service Windows pour Création de clés IKE et AuthIP IPSec et ajoute et active le service Tgbike Starter. Solution : Désactivez le service Tgbike Starter et réactivez le service Création de clés IKE et AuthIP IPSec. VPN IPSec avec IKEv2 et Windows 12 KB-3509 / SRU