VPN avec client ZyXEL IPSec

VPN avec client
ZyXEL IPSec
Exemple de configuration
Série ZyXEL ZyWALL USG
Firmware V2.2x – 3.x
Août 2012 / ALN
INTRO
Cet exemple montre la connexion depuis le client VPN ZyXEL IPSec vers un ZyWALL USG.
1x client sur un autre sous-réseau que l´USG
1x client sur le même sous-réseau que l´USG
Information préalable :
veillez à toujours activer "Show Advanced Settings“ sur l´USG (à gauche en haut de la fenêtre
popup)
2
VPN client vers site
CONFIGURATION DE L´USG
VPN GATEWAY (PHASE 1), 1
ÈRE
PARTIE
Gateway Settings > My Address > Interface:
Veillez à sélectionner l´interface correcte. Lors du choix de la bonne interface, l´IP WAN actuelle sera
affichée.
- Avec codes d'accès du fournisseur de services : wan1_ppp, wan2_ppp
- Sans codes d´accès du fournisseur de services : wan1, wan2
Authentication > Local ID Type & Peer ID Type:
Il s'agit là d'une fonction de sécurité supplémentaire qui n'a pas d'effet sur l'établissement de la
connexion. Si cette fonction ne vous dit rien, gardez simplement les valeurs par défaut.
3
VPN client vers site
VPN GATEWAY (PHASE 1), 2E PARTIE
Phase 1 Settings > Proposal:
Il n'est pas forcément nécessaire de sélectionner un chiffrement très "fort".
Phase 1 Settings > NAT Traversal:
Uniquement nécessaire si la connexion va à travers un réseau NATé.
4
VPN client vers site
VPN CONNECTION (PHASE 2), 1ÈRE PARTIE
VPN Gateway > Application Scenario:
Pour une connexion "client vers site", il faut sélectionner Remote Access (Server Role).
VPN Gateway > VPN Gateway:
Veillez à saisir la phase 1 correspondante (connexion VPN).
5
VPN client vers site
E
VPN CONNECTION (PHASE 2), 2 PARTIE
Policy > Local Policy:
Indiquez le réseau local. Cela peut être une adresse IP unique, une plage ou le sous-réseau entier.
Phase 2 Settings > Proposal:
Ici on peut renforcer le chiffrement de la connexion. En général, 3DES est suffisant. Par contre, AES
est recommandé si votre client souhaite mettre l´accent sur la sécurité. Il faut tenir compte du fait
que plus la sécurité est élevée, plus de bande passante est perdu pour l´échange de clés (overhead).
Related Settings > Zone:
Attribuez la zone IPSec pour que les règles du pare-feu prennent effet.
6
VPN client vers site
GLOBAL SETTING
VPN Connection > Global Setting:
Si le tunnel s'ouvre mais qu´il n´y ait pas de transmission de paquets (par. ex. pas de réponse au
ping), veuillez modifier les Global Settings de la manière susnommée.
PARE-FEU
Le pare-feu est préconfiguré pour accepter le VPN avec la règle Default_Allow_WAN_To_Zywall.
Par contre, si la règle « Default » sur le pare-feu (dernière règle sur le pare-feu) est mise sur
"deny", il vous faut (créer) deux entrées supplémentaires. Si le firmware 3.0 est installé sur le parefeu lors de la livraison ou si un reset a été effectué après la mise à niveau de la version 2.2x sur la
version 3.0, les entrées existent déjà sur le pare-feu. Sinon, les règles suivantes doivent être établies:
1. From IPSec_VPN to LAN1, allow
2. From IPsec_VPN to ZyWALL, allow
7
VPN client vers site
CONFIGURATION DU CLIENT
8
VPN client vers site
Phase 1 (Authentification = Authentisierung)
A gauche dans le menu
Phase 1 = Gateway
Phase 2 = Tunnel
Vous pouvez éditer le nom correspondant en double-cliquant sur Gateway ou Tunnel.
A droite sous Authentification (Authentisierung)
Vérifiez les paramètres qui doivent correspondre à ceux enregistrés dans la phase 1 de l’USG (pages
3 & 4).
9
VPN client vers site
Phase 1 (Avancé = Erweitert)
Local et Remote ID (Lokale und Entfernte ID)
Veuillez remplir les champs selon les informations de phase 1 USG (page 3).
Normalement, aucun changement n'est requis.
10
VPN client vers site
Phase 2 (IPSec)
ESP & PFS
Veuillez remplir les champs selon les informations de la phase 2 de l’USG (pages 5 & 6).
11
VPN client vers site
Phase 2 alternative
Adresse du Client VPN (VPN Client Adresse)
Si le réseau local et le réseau distant ont la même plage d’IP, par ex. 192.168.1.0 des deux côtés,
vous pouvez saisir une IP émulée lors de phase 2.
12
VPN client vers site
Paramètres généraux (Allgemein)
DPD
Devrait être activé, paramètres selon phase 1 USG.
Normalement, aucun changement n'est requis.
13
VPN client vers site
Etablir une connexion
Faites un clic droit sur l´icône "Z" dans la barre des tâches. = Ouvrir le tunnel ‘nom du tunnel’
Le "Z" de ZyXEL devient vert lors de l'établissement d'une connexion. = Tunnel ouvert.
14
VPN client vers site