VPN IPSec avec IKEv2 et Windows

VPN IPSec avec IKEv2
et Windows
Série firewall ZyXEL USG
à partir de la version de firmware 4.10
Knowledge Base KB-3520
Août 2014
Studerus AG
VPN IPSEC AVEC IKEV2 ET WINDOWS
Windows 7 et 8 supportent IPSec IKEv2 avec authentification de certificat. La procédure est
identique pour les deux variantes, avec quelques différences de boîtes de dialogues.
Configuration de l’USG
Après une installation de base réussie de l’USG, nous créons un nouveau certificat avec l’IP WAN en
tant que Host IP Address. Après la création, nous ouvrons le certificat et l’enregistrons en local en
tant que fichier avec la terminaison *.cer. Nous aurons besoin plus tard du certificat pour l’import
sur le client VPN.
Configuration > Object > Certificate > My Certificate > add
Configuration > Object > Certificate > My Certificate > Edit > Export Certificate Only
VPN IPSec avec IKEv2 et Windows
2
KB-3509 / SRU
Créer un utilisateur ou un groupe d’utilisateurs : ce groupe d’utilisateurs est utilisé dans la Phase 1
EAP (Extended Authentication Protocol) du VPN IPSec.
Configuration > Object > User/Group
Pour les clients qui se connectent, nous créons un domaine d’adresses IP de 172.16.1.10 à 20. Ce
domaine ne doit pas se recouper avec un sous-réseau dans l’environnement du client et de l’USG.
Configuration > Object > Address > Add
Ensuite, on passe aux deux règles pour la définition du VPN. VPN-Gateway pour la Phase 1 et VPNConnection pour la Phase 2.
VPN IPSec avec IKEv2 et Windows
3
KB-3509 / SRU
Configuration > VPN > IPSec VPN > VPN Gateway > Add
VPN IPSec avec IKEv2 et Windows
4
KB-3509 / SRU
Configuration > VPN > IPSec VPN > VPN Connection > Add
VPN IPSec avec IKEv2 et Windows
5
KB-3509 / SRU
Client Windows– Importer le certificat
Nous importons sur le client VPN le certificat créé sur l’USG avec la Microsoft Management
Console.
Exécuter le fichier et démarrer MMC :
File > Add/Remove Snap-In… puis ajouter le Snap-In Certificates.
VPN IPSec avec IKEv2 et Windows
6
KB-3509 / SRU
Computer account > Next
Local computer > Finish
La console liste maintenant les Certificates (Local computer) dans les Snap-Ins sélectionnés :
VPN IPSec avec IKEv2 et Windows
7
KB-3509 / SRU
Console Root > Certificates (Local Computer) > Trusted Root Certification Authorities > Certificates
> All Tasks > Import...
Windows 8 affiche une suite légèrement modifiée lors de l’import de certificats, mais le procédé est
quasiment le même que pour Windows 7.
Sélectionner le certificat qui a été créé et exporté précédemment sur l’USG et le charger dans la
mémoire de certificats Trusted Root Certification Authorities :
VPN IPSec avec IKEv2 et Windows
8
KB-3509 / SRU
Client Windows– Paramétrer le VPN
Conrol Panel > Network and Sharing Center > Set up a new connection or network > Connect to a
workplace > Use my Internet connection (VPN)
VPN IPSec avec IKEv2 et Windows
9
KB-3509 / SRU
L’Adresse Internet correspond à l’IP WAN de l’USG. Le nom de destination décrit le profil.
Avec les propriétés de la nouvelle connexion réseau, les paramètres de cryptage peuvent être
modifiés :
VPN IPSec avec IKEv2 et Windows
10
KB-3509 / SRU
Avec le clic droit de la souris et Propriétés, nous continuons d’adapter le profil VPN. Dans le registre
Sécurité nous déterminons le type de VPN en tant que IKEv2. L’Authentification se base sur EAP.
Dans le registre Réseau nous désactivons IPv6.
L’établissement du tunnel se démarre facilement via l’icône Réseau dans la barre des tâches :
VPN IPSec avec IKEv2 et Windows
11
KB-3509 / SRU
DEPANNAGE
Description d’erreur :
L’établissement de la connexion s’interrompt et affiche le numéro d’erreur 809.
Cause :
En standard, Windows 7 et Windows 8 ne supportent pas NAT-Traversal. NAT-T peut être
nécessaire lorsque le serveur VPN se trouve derrière un routeur NAT.
Solution :
Démarrez en tant qu’administrateur l’éditeur d’enregistrement regedit. Créez un lien
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent et un nouveau DWORDWert (32-Bit) du nom de AssumeUDPEncapsulationContextOnSendRule.
Saisissez dans le champ Valeur l’une des valeurs suivantes :
0
La valeur 0 (zéro) configure Windows de manière à ce qu’il NE PUISSE PAS paramétrer
d’attributions de sécurité avec des serveurs derrière des appareils NAT. C’est la valeur
standard.
1
La valeur 1 configure Windows de manière à ce qu’il puisse paramétrer les attributions de
sécurité avec des serveurs derrière des appareils NAT.
2
La valeur 2 configure Windows de manière à ce qu’il puisse paramétrer les attributions de
sécurité, lorsque le serveur et les ordinateurs clients VPN basés sur Windows Vista ou
Windows Server 2008 se situent derrière des appareils NAT.
Redémarrez l’ordinateur.
Chemin pour Windows XP Service Pack 2 (SP2):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC
Description d’erreur :
Le message Connecte… apparaît mais rien ne se produit ensuite. Le log de l’USG n’affiche aucun
message comme quoi une tentative de connexion a lieu.
Cause :
Le client VPN IPSec ZyXEL est installé sur l’ordinateur Windows. Les deux connexions ne peuvent
pas être utilisées simultanément, c’est pourquoi la routine d’installation du client VPN désactive le
service Windows pour Création de clés IKE et AuthIP IPSec et ajoute et active le service Tgbike
Starter.
Solution :
Désactivez le service Tgbike Starter et réactivez le service Création de clés IKE et AuthIP IPSec.
VPN IPSec avec IKEv2 et Windows
12
KB-3509 / SRU