Pour les partenaires
Vous êtes déjà partenaire?
ConnexionAvez-vous un compte?
Le VPN IPSec (Virtual Private Network) vous permet d'obtenir des ressources distantes en toute sécurité en établissant un tunnel crypté sur Internet.
Les routeurs RV130 et RV130W fonctionnent comme des serveurs VPN IPSec et prennent en charge le client VPN logiciel Shrew.
Veillez à télécharger la dernière version du logiciel client.
· Shrew Soft (https://www.shrew.net/download/vpn)
Note: Pour pouvoir configurer et configurer correctement le client VPN logiciel Shrew avec un serveur VPN IPSec, vous devez d'abord configurer le serveur VPN IPSec. Pour plus d'informations sur la façon de procéder, référez-vous à l'article Configuration d'un serveur VPN IPSec sur RV130 et RV130W.
L'objectif de ce document est de vous montrer comment utiliser le client VPN logiciel Shrew pour vous connecter à un serveur VPN IPSec sur les routeurs RV130 et RV130W.
Pare-feu VPN sans fil N · RV130W
Pare-feu VPN · RV130
· systèmes 32 ou 64 bits
· Windows 2000, XP, Vista ou Windows 7/8
Une topologie de niveau supérieur est présentée ci-dessous, illustrant les périphériques impliqués dans la configuration d'un client vers un site Shrewsoft.
Un organigramme plus détaillé illustrant le rôle des serveurs DNS dans un environnement réseau de petite entreprise est présenté ci-dessous.
•1.0.1.3
Étape 1. Connectez-vous à l'utilitaire de configuration Web et choisissez VPN > IPSec VPN Server > Setup. La page Configuration s'affiche.
Étape 2. Vérifiez que le serveur VPN IPSec pour le routeur RV130 est correctement configuré. Si le serveur VPN IPSec n'est pas configuré ou mal configuré, référez-vous à Configuration d'un serveur VPN IPSec sur RV130 et RV130W et cliquez sur Enregistrer.
Note: Les paramètres ci-dessus sont un exemple de configuration d'un serveur VPN IPSec RV130/RV130W. Les paramètres sont basés sur le document Configuration d'un serveur VPN IPSec sur RV130 et RV130W, et seront mentionnés dans les étapes suivantes.
Étape 3. Accédez à VPN > IPSec VPN Server > User. La page Utilisateur s'affiche.
Étape 4. Cliquez sur Ajouter une ligne pour ajouter des comptes d'utilisateurs, utilisés pour authentifier les clients VPN (authentification étendue), et entrez le nom d'utilisateur et le mot de passe souhaités dans les champs fournis.
Étape 5. Cliquez sur Save pour enregistrer les paramètres.
Étape 1. Ouvrez Shrew VPN Access Manager et cliquez sur Add pour ajouter un profil.
La fenêtre Configuration du site VPN apparaît.
Étape 2. Dans la section Hôte distant sous l'onglet Général, saisissez le nom d'hôte public ou l'adresse IP du réseau auquel vous essayez de vous connecter.
Note: Assurez-vous que le numéro de port est défini sur la valeur par défaut 500. Pour que le VPN fonctionne, le tunnel utilise le port UDP 500 qui doit être configuré pour permettre le transfert du trafic ISAKMP au niveau du pare-feu.
Étape 3. Dans la liste déroulante Configuration automatique, sélectionnez Désactivé.
Les options disponibles sont définies comme suit :
· Désactivé : désactive toutes les configurations de client automatiques.
· IKE Config Pull : permet de définir des requêtes à partir d'un ordinateur par le client. Avec la prise en charge de la méthode Pull par l'ordinateur, la requête retourne une liste des paramètres pris en charge par le client.
· IKE Config Push : permet à un ordinateur d'offrir des paramètres au client tout au long du processus de configuration. Avec la prise en charge de la méthode Push par l'ordinateur, la requête retourne une liste des paramètres pris en charge par le client.
· DHCP Over IPSec : permet au client de demander des paramètres à l'ordinateur via DHCP sur IPSec.
Étape 4. Dans la section Hôte local, sélectionnez Utiliser un adaptateur existant et l'adresse actuelle dans la liste déroulante Mode adaptateur.
Les options disponibles sont définies comme suit :
· Utiliser une carte virtuelle et une adresse attribuée : permet au client d'utiliser une carte virtuelle avec une adresse spécifiée comme source de ses communications IPsec.
· Utiliser une carte virtuelle et une adresse aléatoire : permet au client d'utiliser une carte virtuelle avec une adresse aléatoire comme source de ses communications IPsec.
· Utiliser une carte existante et une adresse actuelle : permet au client d'utiliser uniquement sa carte physique existante avec son adresse actuelle comme source de ses communications IPsec.
Étape 5. Cliquez sur l'onglet Client. Dans la liste déroulante NAT Traversal, sélectionnez le même paramètre que celui que vous avez configuré sur le routeur RV130/RV130W pour NAT Traversal dans l'article Configuration d'un serveur VPN IPSec sur RV130 et RV130W.
Les options de menu NAT (Network Address Translation Traversal) disponibles sont définies comme suit :
· Disable : les extensions du protocole NAT ne seront pas utilisées.
· Enable : les extensions de protocole NAT ne seront utilisées que si la passerelle VPN indique la prise en charge pendant les négociations et si la NAT est détectée.
· Force-Draft - La version provisoire des extensions de protocole NAT sera utilisée, que la passerelle VPN indique ou non la prise en charge pendant les négociations ou que la NAT soit détectée.
· Force-RFC - La version RFC du protocole NATT sera utilisée, que la passerelle VPN indique ou non la prise en charge pendant les négociations ou que la NAT soit détectée.
· Force-Cisco-UDP : force l'encapsulation UDP pour les clients VPN sans NAT.
Étape 6. Cliquez sur l'onglet Résolution de noms et cochez la case Activer DNS si vous voulez activer DNS. Si des paramètres DNS spécifiques ne sont pas requis pour la configuration de votre site, décochez la case Activer DNS.
Étape 7. (Facultatif) Si votre passerelle distante est configurée pour prendre en charge Configuration Exchange, la passerelle peut fournir les paramètres DNS automatiquement. Si ce n'est pas le cas, vérifiez que la case Obtenir automatiquement est décochée et entrez manuellement une adresse de serveur DNS valide.
Étape 8. (Facultatif) Cliquez sur l'onglet Résolution de noms, cochez la case Activer WINS si vous voulez activer le serveur de noms Internet Windows (WINS). Si votre passerelle distante est configurée pour prendre en charge Configuration Exchange, la passerelle peut fournir automatiquement les paramètres WINS. Si ce n'est pas le cas, vérifiez que la case Obtain Automatically est décochée et entrez manuellement une adresse de serveur WINS valide.
Note: En fournissant des informations de configuration WINS, un client peut résoudre les noms WINS à l'aide d'un serveur situé dans le réseau privé distant. Cela est utile lorsque vous tentez d'accéder aux ressources réseau Windows distantes à l'aide d'un nom de chemin d'accès à la Convention de noms unifiés. Le serveur WINS appartient généralement à un contrôleur de domaine Windows ou à un serveur Samba.
Étape 9. Cliquez sur l'onglet Authentication, puis sélectionnez Mutual PSK + XAuth dans la liste déroulante Authentication Method.
Les options disponibles sont définies comme suit :
· RSA hybride + XAuth — Les informations d'identification du client ne sont pas nécessaires. Le client authentifie la passerelle. Les informations d'identification seront sous la forme de fichiers de certificat PEM ou PKCS12 ou de type de fichier de clé.
· Hybrid GRP + XAuth — Les informations d'identification du client ne sont pas nécessaires. Le client authentifie la passerelle. Les informations d'identification seront sous la forme d'un fichier de certificat PEM ou PKCS12 et d'une chaîne secrète partagée.
· mutuelles RSA + XAuth — Le client et la passerelle ont tous deux besoin d'informations d'identification pour s'authentifier. Les informations d'identification seront sous la forme de fichiers de certificat ou de type de clé PEM ou PKCS12.
· Mutual PSK + XAuth - Le client et la passerelle ont tous deux besoin d'informations d'identification pour s'authentifier. Les informations d'identification seront sous la forme d'une chaîne secrète partagée.
· mutuelles RSA : le client et la passerelle ont tous deux besoin d'informations d'identification pour s'authentifier. Les informations d'identification seront sous la forme de fichiers de certificat ou de type de clé PEM ou PKCS12.
· Mutual PSK : le client et la passerelle ont tous deux besoin d'informations d'identification pour s'authentifier. Les informations d'identification seront sous la forme d'une chaîne secrète partagée.
Étape 10. Dans la section Authentification, cliquez sur le sous-onglet Informations d'identification et saisissez la même clé prépartagée que celle que vous avez configurée sur la page Configuration du serveur VPN IPsec dans le champ Clé prépartagée.
Étape 11. Cliquez sur l'onglet Phase 1. Configurez les paramètres suivants pour qu'ils aient les mêmes paramètres que ceux que vous avez configurés pour la section RV130/RV130W à l'étape 2 de la section Configuration utilisateur du serveur VPN IPSec de ce document.
Les paramètres de Shrew Soft doivent correspondre aux configurations RV130/RV130W de la phase 1 comme suit :
· ” de type Exchange “ doit correspondre “ mode Exchange ”.
· ” d'échange DH “ doit correspondre “ groupe DH ”.
· ” d'algorithme de chiffrement “ doit correspondre au ” d'algorithme de chiffrement “.
· ” d'algorithme de hachage “ doit correspondre à “ Algorithme d'authentification ”.
Étape 12. (Facultatif) Si votre passerelle propose un ID de fournisseur compatible Cisco pendant les négociations de phase 1, cochez la case Activer l'ID de fournisseur compatible Check Point. Si la passerelle n'est pas cochée ou si vous n'êtes pas certain, ne cochez pas cette case.
Étape 13. Cliquez sur l'onglet Phase 2. Configurez les paramètres suivants pour qu'ils aient les mêmes paramètres que ceux que vous avez configurés pour la section RV130/RV130W à l'étape 2 de la section Configuration utilisateur du serveur VPN IPSec de ce document.
Les paramètres de Shrew Soft doivent correspondre aux configurations RV130/RV130W de la phase 2 comme suit :
· ” d'algorithme de transformation “ doit correspondre à “ Algorithme de chiffrement ”.
· ” d'algorithme HMAC “ doit correspondre à “ Algorithme d'authentification ”.
· PFS Exchange ” doit correspondre “ groupe DH ” si le groupe de clés PFS est activé sur le RV130/RV130W. Sinon, sélectionnez désactivé.
· ” de durée de vie de la clé “ doit correspondre à la ” de durée de vie de “ IPSec SA.
Étape 14. Cliquez sur l'onglet Stratégie et sélectionnez Exiger dans la liste déroulante Niveau de génération de stratégie. L'option Niveau de génération de stratégie modifie le niveau de génération des stratégies IPsec. Les différents niveaux fournis dans la liste déroulante correspondent aux comportements de négociation de SA IPSec mis en oeuvre par différents fournisseurs.
Les options disponibles sont définies comme suit :
· Auto : le client détermine automatiquement le niveau de stratégie IPSec approprié.
· Exiger : le client ne négociera pas une association de sécurité (SA) unique pour chaque stratégie. Les stratégies sont générées à l'aide de l'adresse publique locale en tant qu'ID de stratégie locale et des ressources du réseau distant en tant qu'ID de stratégie distante. La proposition Phase2 utilise les ID de stratégie lors de la négociation.
· unique : le client négocie une SA unique pour chaque stratégie.
· partagées : les stratégies sont générées au niveau requis. La proposition de phase 2 utilisera l'ID de stratégie locale comme ID local et Any (0.0.0.0/0) comme ID distant lors de la négociation.
Étape 15. Décochez la case Obtenir la topologie automatiquement ou Tout Tunnel. Cette option modifie la configuration des stratégies de sécurité pour la connexion. Lorsque cette option est désactivée, la configuration manuelle doit être effectuée. Lorsque cette option est activée, la configuration automatique est effectuée.
Étape 16. Cliquez sur Add afin d'ajouter la ressource de réseau distant à laquelle vous voulez vous connecter. Les ressources réseau à distance incluent l'accès à distance aux postes de travail, les ressources du service, les lecteurs réseau et la messagerie électronique sécurisée.
La fenêtre Entrée de la topologie s'affiche :
Étape 17. Dans le champ Adresse, saisissez l'ID de sous-réseau du routeur RV130/RV130W. L'adresse doit correspondre au champ IP Address à l'étape 2 de la section Configuration et configuration du serveur VPN IPSec de ce document.
Étape 18. Dans le champ Masque réseau, saisissez le masque de sous-réseau du réseau local du routeur RV130/RV130W. Le masque de réseau doit correspondre au champ Masque de sous-réseau à l'étape 2 de la section Configuration utilisateur du serveur VPN IPSec de ce document.
Étape 19. Cliquez sur OK pour terminer l'ajout de la ressource Réseau distant.
Étape 20. Cliquez sur Save pour enregistrer vos configurations de connexion au site VPN.
Étape 21. Revenez à la fenêtre VPN Access Manager pour sélectionner le site VPN que vous avez configuré, puis cliquez sur le bouton Connect.
La fenêtre VPN Connect apparaît.
Étape 22. Dans la section Informations d'identification, saisissez le nom d'utilisateur et le mot de passe du compte que vous avez configuré à l'étape 4 de la section Configuration utilisateur du serveur VPN IPSec de ce document.
Étape 23. Cliquez sur Connect to VPN dans le routeur RV130/RV130W.
Le tunnel VPN IPSec est établi et le client VPN peut accéder à la ressource derrière le LAN RV130/RV130W.