VPN avec client ZyXEL IPSec
Transcription
VPN avec client ZyXEL IPSec
VPN avec client ZyXEL IPSec Exemple de configuration Série ZyXEL ZyWALL USG Firmware V2.2x – 3.x Août 2012 / ALN INTRO Cet exemple montre la connexion depuis le client VPN ZyXEL IPSec vers un ZyWALL USG. 1x client sur un autre sous-réseau que l´USG 1x client sur le même sous-réseau que l´USG Information préalable : veillez à toujours activer "Show Advanced Settings“ sur l´USG (à gauche en haut de la fenêtre popup) 2 VPN client vers site CONFIGURATION DE L´USG VPN GATEWAY (PHASE 1), 1 ÈRE PARTIE Gateway Settings > My Address > Interface: Veillez à sélectionner l´interface correcte. Lors du choix de la bonne interface, l´IP WAN actuelle sera affichée. - Avec codes d'accès du fournisseur de services : wan1_ppp, wan2_ppp - Sans codes d´accès du fournisseur de services : wan1, wan2 Authentication > Local ID Type & Peer ID Type: Il s'agit là d'une fonction de sécurité supplémentaire qui n'a pas d'effet sur l'établissement de la connexion. Si cette fonction ne vous dit rien, gardez simplement les valeurs par défaut. 3 VPN client vers site VPN GATEWAY (PHASE 1), 2E PARTIE Phase 1 Settings > Proposal: Il n'est pas forcément nécessaire de sélectionner un chiffrement très "fort". Phase 1 Settings > NAT Traversal: Uniquement nécessaire si la connexion va à travers un réseau NATé. 4 VPN client vers site VPN CONNECTION (PHASE 2), 1ÈRE PARTIE VPN Gateway > Application Scenario: Pour une connexion "client vers site", il faut sélectionner Remote Access (Server Role). VPN Gateway > VPN Gateway: Veillez à saisir la phase 1 correspondante (connexion VPN). 5 VPN client vers site E VPN CONNECTION (PHASE 2), 2 PARTIE Policy > Local Policy: Indiquez le réseau local. Cela peut être une adresse IP unique, une plage ou le sous-réseau entier. Phase 2 Settings > Proposal: Ici on peut renforcer le chiffrement de la connexion. En général, 3DES est suffisant. Par contre, AES est recommandé si votre client souhaite mettre l´accent sur la sécurité. Il faut tenir compte du fait que plus la sécurité est élevée, plus de bande passante est perdu pour l´échange de clés (overhead). Related Settings > Zone: Attribuez la zone IPSec pour que les règles du pare-feu prennent effet. 6 VPN client vers site GLOBAL SETTING VPN Connection > Global Setting: Si le tunnel s'ouvre mais qu´il n´y ait pas de transmission de paquets (par. ex. pas de réponse au ping), veuillez modifier les Global Settings de la manière susnommée. PARE-FEU Le pare-feu est préconfiguré pour accepter le VPN avec la règle Default_Allow_WAN_To_Zywall. Par contre, si la règle « Default » sur le pare-feu (dernière règle sur le pare-feu) est mise sur "deny", il vous faut (créer) deux entrées supplémentaires. Si le firmware 3.0 est installé sur le parefeu lors de la livraison ou si un reset a été effectué après la mise à niveau de la version 2.2x sur la version 3.0, les entrées existent déjà sur le pare-feu. Sinon, les règles suivantes doivent être établies: 1. From IPSec_VPN to LAN1, allow 2. From IPsec_VPN to ZyWALL, allow 7 VPN client vers site CONFIGURATION DU CLIENT 8 VPN client vers site Phase 1 (Authentification = Authentisierung) A gauche dans le menu Phase 1 = Gateway Phase 2 = Tunnel Vous pouvez éditer le nom correspondant en double-cliquant sur Gateway ou Tunnel. A droite sous Authentification (Authentisierung) Vérifiez les paramètres qui doivent correspondre à ceux enregistrés dans la phase 1 de l’USG (pages 3 & 4). 9 VPN client vers site Phase 1 (Avancé = Erweitert) Local et Remote ID (Lokale und Entfernte ID) Veuillez remplir les champs selon les informations de phase 1 USG (page 3). Normalement, aucun changement n'est requis. 10 VPN client vers site Phase 2 (IPSec) ESP & PFS Veuillez remplir les champs selon les informations de la phase 2 de l’USG (pages 5 & 6). 11 VPN client vers site Phase 2 alternative Adresse du Client VPN (VPN Client Adresse) Si le réseau local et le réseau distant ont la même plage d’IP, par ex. 192.168.1.0 des deux côtés, vous pouvez saisir une IP émulée lors de phase 2. 12 VPN client vers site Paramètres généraux (Allgemein) DPD Devrait être activé, paramètres selon phase 1 USG. Normalement, aucun changement n'est requis. 13 VPN client vers site Etablir une connexion Faites un clic droit sur l´icône "Z" dans la barre des tâches. = Ouvrir le tunnel ‘nom du tunnel’ Le "Z" de ZyXEL devient vert lors de l'établissement d'une connexion. = Tunnel ouvert. 14 VPN client vers site