Configuration du client VPN Shrew sur les routeurs VPN RV042, RV042G et RV082 via Windows
Objectif
Un réseau privé virtuel (VPN) est une méthode permettant aux utilisateurs distants de se connecter virtuellement à un réseau privé via Internet. Un VPN Client to Gateway connecte le bureau ou l'ordinateur portable d'un utilisateur à un réseau distant à l'aide d'un logiciel client VPN. Les connexions VPN client à passerelle sont utiles aux employés distants qui souhaitent se connecter en toute sécurité au réseau du bureau à distance. Shrew VPN Client est un logiciel configuré sur un périphérique hôte distant qui fournit une connectivité VPN facile et sécurisée.
L'objectif de ce document est de vous montrer comment configurer le client VPN Shrew pour un ordinateur qui se connecte à un routeur VPN RV042, RV042G ou RV082.
Remarque : ce document suppose que vous avez déjà téléchargé le client VPN Shrew sur l'ordinateur Windows. Sinon, vous devez configurer une connexion VPN Client to Gateway avant de commencer à configurer le VPN Shrew. Pour en savoir plus sur la configuration du VPN Client to Gateway, référez-vous à Configuration d'un tunnel d'accès à distance (Client to Gateway) pour les clients VPN sur les routeurs RV042, RV042G et RV082 VPN.
Périphériques pertinents
•RV042
•RV042G
•RV082
Version du logiciel
•v 4.2.2.08
Configurer la connexion du client VPN Shrew sous Windows
Étape 1. Cliquez sur le programme Shrew VPN Client sur l'ordinateur et ouvrez-le. La fenêtre Shrew Soft VPN Access Manager s'ouvre :
Étape 2. Cliquez sur Add. La fenêtre Configuration du site VPN s'affiche :
Configuration générale
Étape 1. Cliquez sur l’onglet General (Général).
Note: La section Général permet de configurer les adresses IP des hôtes distants et locaux. Ces paramètres sont utilisés pour définir les paramètres réseau de la connexion client-passerelle.
Étape 2. Dans le champ Host Name ou IP Address, saisissez l'adresse IP de l'hôte distant, qui est l'adresse IP du WAN configuré.
Étape 3. Dans le champ Port, saisissez le numéro du port à utiliser pour la connexion. Le numéro de port utilisé dans l'exemple illustré est 400.
Étape 4. Dans la liste déroulante Configuration automatique, sélectionnez la configuration souhaitée.
· Désactivé : l'option Désactivée désactive toutes les configurations de client automatiques.
· IKE Config Pull : permet de définir des requêtes à partir d'un ordinateur par le client. Avec la prise en charge de la méthode Pull par l'ordinateur, la requête retourne une liste des paramètres pris en charge par le client.
· IKE Config Push : permet à un ordinateur d'offrir des paramètres au client tout au long du processus de configuration. Avec la prise en charge de la méthode Push par l'ordinateur, la requête retourne une liste des paramètres pris en charge par le client.
· DHCP Over IPSec : permet au client de demander des paramètres à l'ordinateur via DHCP sur IPSec.
Étape 5. Dans la liste déroulante Mode adaptateur, sélectionnez le mode adaptateur souhaité pour l'hôte local en fonction de la configuration automatique.
· Use a Virtual Adapter and Assigned Address : permet au client d'utiliser une carte virtuelle avec une adresse spécifiée.
· Use a Virtual Adapter and Random Address : permet au client d'utiliser une carte virtuelle avec une adresse aléatoire.
· Utiliser une carte existante et une adresse actuelle : utilise une carte existante et son adresse. Aucune information supplémentaire ne doit être saisie.
Étape 6. Entrez l'unité de transmission maximale (MTU) dans le champ MTU si vous avez choisi Utiliser un adaptateur virtuel et une adresse attribuée dans la liste déroulante Mode adaptateur de l'étape 5. L’unité de transmission maximale permet de résoudre les problèmes de fragmentation IP. La valeur par défaut est 1380.
Étape 7. (Facultatif) Pour obtenir automatiquement l'adresse et le masque de sous-réseau via le serveur DHCP, cochez la case Obtain Automatically. Cette option n'est pas disponible pour toutes les configurations.
Étape 8. Entrez l'adresse IP du client distant dans le champ Address si vous avez choisi Use a Virtual Adapter and Assigned Address dans la liste déroulante Adapter Mode de l'étape 5.
Étape 9. Entrez le masque de sous-réseau de l'adresse IP du client distant dans le champ Masque réseau si vous avez choisi Utiliser un adaptateur virtuel et une adresse attribuée dans la liste déroulante Mode adaptateur de l'étape 5.
Étape 10. Cliquez sur Save pour enregistrer les paramètres.
Configuration du client
Étape 1. Cliquez sur l'onglet Client.
Remarque : Dans la section Client, vous pouvez configurer les options de pare-feu, la détection des homologues morts et les notifications de défaillance ISAKMP (Internet Security Association and Key Management Protocol). Les paramètres définissent les options de configuration qui sont configurées manuellement et qui sont obtenues automatiquement.
Étape 2. Sélectionnez l'option NAT (Network Address Translation) traversal appropriée dans la liste déroulante NAT Traversal.
· Disable : le protocole NAT est désactivé.
· Enable : la fragmentation IKE n'est utilisée que si la passerelle indique la prise en charge par le biais de négociations.
· Force Draft : version provisoire du protocole NAT. Il est utilisé si la passerelle indique la prise en charge par la négociation ou la détection de la NAT.
· Force RFC : version RFC du protocole NAT. Il est utilisé si la passerelle indique la prise en charge par la négociation ou la détection de la NAT.
Étape 3. Entrez le port UDP de la NAT dans le champ NAT Traversal Port. La valeur par défaut est 4500.
Étape 4. Dans le champ Keep-alive packet rate, saisissez une valeur pour le taux d'envoi des paquets keep-alive. La valeur est mesurée en secondes. La valeur par défaut est de 30 secondes.
Étape 5. Dans la liste déroulante Fragmentation IKE, sélectionnez l'option appropriée.
· Disable : la fragmentation IKE n'est pas utilisée.
· Enable : la fragmentation IKE n'est utilisée que si la passerelle indique la prise en charge par le biais de négociations.
· Force : la fragmentation IKE est utilisée indépendamment des indications ou de la détection.
Étape 6. Entrez la taille maximale du paquet dans le champ Taille maximale du paquet en octets. Si la taille du paquet est supérieure à la taille maximale du paquet, la fragmentation IKE est effectuée. La valeur par défaut est 540 octets.
Étape 7. (Facultatif) Pour permettre à l'ordinateur et au client de détecter lorsque l'autre n'est plus en mesure de répondre, cochez la case Activer la détection des homologues morts.
Étape 8. (Facultatif) Pour envoyer des notifications d'échec par le client VPN, cochez la case Activer les notifications d'échec ISAKMP.
Étape 9. (Facultatif) Pour afficher une bannière de connexion par le client lorsque la connexion est établie avec la passerelle, cochez la case Activer la connexion du client.
Étape 10. Cliquez sur Save pour enregistrer les paramètres.
Configuration de la résolution de noms
Étape 1. Cliquez sur l'onglet Résolution de noms.
Note: La section Résolution de noms permet de configurer les paramètres DNS (Domain Name System) et WIN (Windows Internet Name Service).
Étape 2. Cliquez sur l'onglet DNS.
Étape 3. Cochez Enable DNS pour activer DNS (Domain Name System).
Étape 4. (Facultatif) Pour obtenir automatiquement l'adresse du serveur DNS, cochez la case Obtenir automatiquement. Si vous choisissez cette option, passez à l'étape 6.
Étape 5. Entrez l'adresse du serveur DNS dans le champ Adresse du serveur n° 1. S'il existe un autre serveur DNS, entrez l'adresse de ces serveurs dans les champs Server Address restants.
Étape 6. (Facultatif) Pour obtenir automatiquement le suffixe du serveur DNS, cochez la case Obtenir automatiquement. Si vous choisissez cette option, passez à l'étape 8.
Étape 7. Entrez le suffixe du serveur DNS dans le champ Suffixe DNS.
Étape 8. Cliquez sur Save pour enregistrer les paramètres.
Étape 9. Cliquez sur l'onglet WINS.
Étape 10. Cochez Enable WINS pour activer Windows Internet Name Server (WINS).
Étape 11. (Facultatif) Pour obtenir automatiquement l'adresse du serveur DNS, cochez la case Obtenir automatiquement. Si vous choisissez cette option, passez à l'étape 13.
Étape 12. Entrez l'adresse du serveur WINS dans le champ Adresse du serveur n°1. S'il existe d'autres serveurs DNS, entrez l'adresse de ces serveurs dans les champs Server Address restants.
Étape 13. Cliquez sur Save pour enregistrer les paramètres.
Authentification
Étape 1. Cliquez sur l'onglet Authentification.
Remarque : Dans la section Authentification, vous pouvez configurer les paramètres pour que le client gère l'authentification lorsqu'il tente d'établir une SA ISAKMP.
Étape 2. Choisissez la méthode d'authentification appropriée dans la liste déroulante Authentication Method.
· RSA hybride + XAuth — Les informations d'identification du client ne sont pas nécessaires. Le client authentifie la passerelle. Les informations d'identification seront sous la forme de fichiers de certificat PEM ou PKCS12 ou de type de fichier de clé.
· Hybrid GRP + XAuth — Les informations d'identification du client ne sont pas nécessaires. Le client authentifie la passerelle. Les informations d'identification seront sous la forme d'un fichier de certificat PEM ou PKCS12 et d'une chaîne secrète partagée.
· mutuelles RSA + XAuth — Le client et la passerelle ont tous deux besoin d'informations d'identification pour s'authentifier. Les informations d'identification seront sous la forme de fichiers de certificat ou de type de clé PEM ou PKCS12.
· Mutual PSK + XAuth - Le client et la passerelle ont tous deux besoin d'informations d'identification pour s'authentifier. Les informations d'identification seront sous la forme d'une chaîne secrète partagée.
· mutuelles RSA : le client et la passerelle ont tous deux besoin d'informations d'identification pour s'authentifier. Les informations d'identification seront sous la forme de fichiers de certificat ou de type de clé PEM ou PKCS12.
· Mutual PSK : le client et la passerelle ont tous deux besoin d'informations d'identification pour s'authentifier. Les informations d'identification seront sous la forme d'une chaîne secrète partagée.
Configuration de l'identité locale
Étape 1. Cliquez sur l'onglet Identité locale.
Remarque : L'identité locale définit l'ID qui est envoyé au modem routeur pour vérification. Dans la section Identité locale, le type d'identification et la chaîne FQDN (Fully Qualified Domain Name) sont configurés pour déterminer comment l'ID est envoyé.
Étape 2. Choisissez l'option d'identification appropriée dans la liste déroulante Type d'identification. Toutes les options ne sont pas disponibles pour tous les modes d'authentification.
· Nom de domaine complet : l'identification du client de l'identité locale est basée sur un nom de domaine complet. Si vous choisissez cette option, suivez l'étape 3, puis passez à l'étape 7.
· User Fully Qualified Domain Name : l'identification du client de l'identité locale est basée sur le nom de domaine complet de l'utilisateur. Si vous choisissez cette option, suivez l'étape 4, puis passez à l'étape 7.
· IP Address : l'identification du client de l'identité locale est basée sur l'adresse IP. Si vous cochez la case Utiliser une adresse hôte locale détectée, l'adresse IP est automatiquement découverte. Si vous choisissez cette option, suivez l'étape 5, puis passez à l'étape 7.
· Key Identifier : l'identification du client local est identifiée en fonction d'un identificateur de clé. Si vous choisissez cette option, suivez les étapes 6 et 7.
Étape 3. Entrez le nom de domaine complet en tant que chaîne DNS dans le champ Chaîne FQDN.
Étape 4. Entrez le nom de domaine complet de l'utilisateur en tant que chaîne DNS dans le champ chaîne UFQDN.
Étape 5. Entrez l'adresse IP dans le champ chaîne UFQDN.
Étape 6. Entrez l'identificateur de clé pour identifier le client local dans la chaîne d'ID de clé.
Étape 7. Cliquez sur Save pour enregistrer les paramètres.
Configuration de l'identité distante
Étape 1. Cliquez sur l'onglet Identité distante.
Remarque : l'identité distante vérifie l'ID à partir de la passerelle. Dans la section Identité distante, le type d'identification est configuré pour déterminer comment l'ID est vérifié.
Étape 2. Choisissez l'option d'identification appropriée dans la liste déroulante Type d'identification.
· Any : le client distant peut accepter n'importe quelle valeur ou n'importe quel ID à authentifier.
· ASN.1 Nom unique — Le client distant est identifié automatiquement à partir d'un fichier de certificat PEM ou PKCS12. Vous ne pouvez choisir cette option que si vous choisissez une méthode d'authentification RSA à l'étape 2 de la section Authentification. Cochez la case Utiliser l'objet dans le certificat reçu mais ne le comparez pas avec une valeur spécifique pour recevoir automatiquement le certificat. Si vous choisissez cette option, suivez l'étape 3, puis passez à l'étape 8.
· Fully Qualified Domain Name : l'identification du client de l'identité distante est basée sur Fully Qualified Domain Name. Vous ne pouvez choisir cette option que si vous choisissez une méthode d'authentification PSK à l'étape 2 de la section Authentification. Si vous choisissez cette option, suivez l'étape 4, puis passez à l'étape 8.
· User Fully Qualified Domain Name : l'identification du client de l'identité distante est basée sur le nom de domaine complet de l'utilisateur. Vous ne pouvez choisir cette option que si vous choisissez une méthode d'authentification PSK à l'étape 2 de la section Authentification. Si vous choisissez cette option, suivez l'étape 5, puis passez à l'étape 8.
· IP Address : l'identification du client de l'identité distante est basée sur l'adresse IP. Si vous cochez la case Utiliser une adresse hôte locale détectée, l'adresse IP est automatiquement découverte. Si vous choisissez cette option, suivez l'étape 6, puis passez à l'étape 8.
· Key Identifier : l'identification du client distant est basée sur un identificateur de clé. Si vous choisissez cette option, suivez les étapes 7 et 8.
Étape 3. Entrez la chaîne DN ASN.1 dans le champ chaîne DN ASN.1.
Étape 4. Entrez le nom de domaine complet en tant que chaîne DNS dans le champ Chaîne de nom de domaine complet.
Étape 5. Entrez le nom de domaine complet de l'utilisateur en tant que chaîne DNS dans le champ UFQDN String.
Étape 6. Entrez l'adresse IP dans le champ UFQDN String.
Étape 7. Entrez l'identificateur de clé pour identifier le client local dans le champ Key ID String.
Étape 8. Cliquez sur Save pour enregistrer les paramètres.
Configuration des informations d'identification
Étape 1. Cliquez sur l'onglet Informations d'identification.
Remarque : Dans la section Informations d'identification et de connexion, la clé prépartagée est configurée.
Étape 2. Pour sélectionner le fichier de certificat du serveur, cliquez sur le .. en regard du champ Fichier d'autorité de certification du serveur et sélectionnez le chemin d'accès où vous avez enregistré le fichier de certificat du serveur sur votre ordinateur.
Étape 3. Pour sélectionner le fichier de certificat client, cliquez sur le ... en regard du champ Fichier de certificat client et sélectionnez le chemin d'accès où vous avez enregistré le fichier de certificat client sur votre ordinateur.
Étape 4. Pour sélectionner le fichier de clé privée du client, cliquez sur le ... en regard du champ Fichier de clé privée du client et sélectionnez le chemin d'accès dans lequel vous avez enregistré le fichier de clé privée du client sur votre ordinateur.
Étape 5. Entrez la clé pré-partagée dans le champ PreShared Key. Il doit s'agir de la même clé que celle utilisée lors de la configuration du tunnel.
Étape 6. Cliquez sur Save pour enregistrer les paramètres.
Configuration de la phase 1
Étape 1. Cliquez sur l'onglet Phase 1.
Note: Dans la section Phase 1, vous pouvez configurer les paramètres de sorte qu'une SA ISAKMP avec la passerelle client puisse être établie.
Étape 2. Choisissez le type d'échange de clé approprié dans la liste déroulante Type d'échange.
· Principal : l'identité des homologues est sécurisée.
· Aggressive : l'identité des homologues n'est pas sécurisée.
Étape 3. Dans la liste déroulante DH Exchange, sélectionnez le groupe approprié qui a été choisi lors de la configuration de la connexion VPN.
Étape 4. Dans la liste déroulante Algorithme de chiffrement, sélectionnez l'option appropriée qui a été choisie lors de la configuration de la connexion VPN.
Étape 5. Dans la liste déroulante Longueur de clé du chiffrement, sélectionnez l'option qui correspond à la longueur de clé de l'option choisie lors de votre configuration de la connexion VPN.
Étape 6. Dans la liste déroulante Hash Algorithm, sélectionnez l'option choisie lors de votre configuration de la connexion VPN.
Étape 7. Dans le champ Key Life Time limit, saisissez la valeur utilisée lors de votre configuration de la connexion VPN.
Étape 8. Dans le champ Key Life Data limit, saisissez la valeur en kilo-octets à protéger. La valeur par défaut est 0, ce qui désactive la fonction.
Étape 9. (Facultatif) Cochez la case Activer l'ID de fournisseur compatible Check Point.
Étape 10. Cliquez sur Save pour enregistrer les paramètres.
Configuration de la phase 2
Étape 1. Cliquez sur l'onglet Phase 2.
Remarque : Dans la section Phase 2, vous pouvez configurer les paramètres de telle sorte qu'une SA IPsec avec la passerelle client distante puisse être établie.
Étape 2. Dans la liste déroulante Transform Algorithm, sélectionnez l'option choisie lors de la configuration de la connexion VPN.
Étape 3. Dans la liste déroulante Transform Key Length, sélectionnez l'option qui correspond à la longueur de clé de l'option choisie lors de la configuration de la connexion VPN.
Étape 4. Dans la liste déroulante HMAC Algorithm, sélectionnez l'option choisie lors de la configuration de la connexion VPN.
Étape 5. Dans la liste déroulante PFS Exchange, sélectionnez l'option choisie lors de la configuration de la connexion VPN.
Étape 6. Dans le champ Key Life Time, saisissez la valeur utilisée lors de la configuration de la connexion VPN.
Étape 7. Dans le champ Key Life Data, saisissez la valeur en kilo-octets à protéger. La valeur par défaut est 0, ce qui désactive la fonction.
Étape 8. Cliquez sur Save pour enregistrer les paramètres.
Configuration de la stratégie
Étape 1.Cliquez sur l'onglet Stratégie.
Remarque : Dans la section Stratégie, la stratégie IPSEC est définie, qui est requise pour que le client communique avec l'hôte pour la configuration du site.
Étape 2. Dans la liste déroulante Niveau de génération de stratégie, sélectionnez l'option appropriée.
· Auto : le niveau de stratégie IPsec nécessaire est automatiquement déterminé.
· Exiger : une association de sécurité unique pour chaque stratégie n'est pas négociée.
· unique : une association de sécurité unique pour chaque stratégie est négociée.
· Partagé : la stratégie appropriée est générée au niveau nécessaire.
Étape 3. (Facultatif) Pour modifier les négociations IPSec, cochez la case Tenir à jour les associations de sécurité persistantes. Si cette option est activée, la négociation est effectuée pour chaque stratégie directement après la connexion. Si cette option est désactivée, la négociation est effectuée en fonction des besoins.
Étape 4. (Facultatif) Pour recevoir une liste de réseaux automatiquement fournie par le périphérique ou pour envoyer tous les paquets à RV0XX par défaut, cochez la case Obtenir la topologie automatiquement ou Tout tunnel. Si cette case n'est pas cochée, la configuration doit être effectuée manuellement. Si cette case est cochée, passez à l'étape 10.
Étape 5. Cliquez sur Ajouter pour ajouter une entrée de topologie dans le tableau. La fenêtre Entrée de la topologie s'affiche.
Étape 6. Dans la liste déroulante Type, sélectionnez l'option appropriée.
· Include : l'accès au réseau s'effectue via une passerelle VPN.
· Exclure : le réseau est accessible via la connectivité locale.
Étape 7. Dans le champ Adresse, saisissez l'adresse IP du routeur RV0XX.
Étape 8. Dans le champ Masque réseau, saisissez l'adresse du masque de sous-réseau du périphérique.
Étape 9. Click OK. L'adresse IP et l'adresse de masque de sous-réseau du routeur RV0XX sont affichées dans la liste Remote Network Resource.
Étape 10. Cliquez sur Save, qui renvoie l'utilisateur à la fenêtre VPN Access Manager où la nouvelle connexion VPN est affichée.
Se connecter
Cette section explique comment configurer la connexion VPN une fois tous les paramètres configurés. Les informations de connexion requises sont les mêmes que l'accès client VPN configuré sur le périphérique.
Étape 1. Cliquez sur la connexion VPN souhaitée.
Étape 2. Cliquez sur Connect.
La fenêtre VPN Connect s'affiche :
Étape 3. Entrez le nom d'utilisateur du VPN dans le champ Nom d'utilisateur.
Étape 4. Entrez le mot de passe du compte d'utilisateur VPN dans le champ Mot de passe.
Étape 5. Cliquez sur Connect. La fenêtre Shrew Soft VPN Connect apparaît :
Étape 6. (Facultatif) Pour désactiver la connexion, cliquez sur Déconnecter.
Commentaires