Configuration de la connectivité de réseau privé virtuel (VPN) AnyConnect sur le routeur de la gamme RV34x

Objectif

L'objectif de ce document est de vous montrer comment configurer la connectivité VPN AnyConnect sur le routeur de la gamme RV34x.

Avantages de l'utilisation d'AnyConnect Secure Mobility Client :

1. Connectivité sécurisée et permanente
2. Sécurité permanente et application des politiques
3. Déployable à partir de l'appareil de sécurité adaptatif (ASA) ou des systèmes de déploiement de logiciels d'entreprise
4. Personnalisable et traduisible
5. Facilement configuré
6. Prend en charge IPSec (Internet Protocol Security) et SSL (Secure Sockets Layer)
7. Prise en charge du protocole Internet Key Exchange version 2.0 (IKEv2.0)

Introduction

Une connexion de réseau privé virtuel (VPN) permet aux utilisateurs d'accéder, d'envoyer et de recevoir des données à destination et en provenance d'un réseau privé en passant par un réseau public ou partagé tel qu'Internet, tout en assurant des connexions sécurisées à une infrastructure réseau sous-jacente afin de protéger le réseau privé et ses ressources.

Un client VPN est un logiciel installé et exécuté sur un ordinateur qui souhaite se connecter au réseau distant. Ce logiciel client doit être configuré avec la même configuration que celle du serveur VPN, telle que l'adresse IP et les informations d'authentification. Ces informations d'authentification incluent le nom d'utilisateur et la clé pré-partagée qui seront utilisés pour chiffrer les données. Selon l'emplacement physique des réseaux à connecter, un client VPN peut également être un périphérique matériel. Cela se produit généralement si la connexion VPN est utilisée pour connecter deux réseaux situés à des emplacements distincts.

Le client Cisco AnyConnect Secure Mobility est une application logicielle permettant de se connecter à un VPN qui fonctionne sur différents systèmes d'exploitation et configurations matérielles. Cette application logicielle permet aux ressources distantes d'un autre réseau de devenir accessibles comme si l'utilisateur était directement connecté à son réseau, mais de manière sécurisée. Le client Cisco AnyConnect Secure Mobility offre une nouvelle façon innovante de protéger les utilisateurs mobiles sur des plates-formes informatiques ou de smartphones, offrant une expérience plus transparente et toujours protégée pour les utilisateurs finaux et une application complète des politiques pour les administrateurs informatiques.

Sur le routeur RV34x, à partir de la version 1.0.3.15 du micrologiciel et en allant de l'avant, les licences AnyConnect ne sont pas nécessaires. Les licences des clients sont payantes uniquement.

Pour plus d'informations sur les licences AnyConnect sur les routeurs de la gamme RV340, consultez l'article sur : Licence AnyConnect pour les routeurs de la gamme RV340.

Périphériques pertinents | Version du micrologiciel

• Client de mobilité sécurisée Cisco AnyConnect | 4.4 (Télécharger la dernière version)
• Gamme RV34x | 1.0.03.15 (Télécharger la dernière version)

Configuration de la connectivité VPN AnyConnect sur le routeur RV34x

Configuration du VPN SSL sur le RV34x

Étape 1. Accédez à l'utilitaire Web du routeur et choisissez VPN > SSL VPN.

Étape 2. Activez la case d'option On pour activer Cisco SSL VPN Server.

Paramètres de passerelle obligatoires

Les paramètres de configuration suivants sont obligatoires :

Étape 3. Sélectionnez Gateway Interface dans la liste déroulante. Il s'agit du port qui sera utilisé pour transmettre le trafic via les tunnels VPN SSL. Les options sont les suivantes :

• WAN1
• WAN2
• USB1
• USB2

Note: Dans cet exemple, WAN1 est choisi.

Étape 4. Entrez le numéro de port utilisé pour la passerelle VPN SSL dans le champ Port de passerelle compris entre 1 et 65535.

Note: Dans cet exemple, 8443 est utilisé comme numéro de port.

Étape 5. Sélectionnez le fichier de certificat dans la liste déroulante. Ce certificat authentifie les utilisateurs qui tentent d'accéder à la ressource réseau via les tunnels VPN SSL. La liste déroulante contient un certificat par défaut et les certificats importés.

Note: Dans cet exemple, Default est sélectionné.

Étape 6. Entrez l'adresse IP du pool d'adresses client dans le champ Client Address Pool. Ce pool sera la plage d'adresses IP qui sera allouée aux clients VPN distants.

Note: Assurez-vous que la plage d’adresses IP ne chevauche aucune des adresses IP du réseau local.

Note: Dans cet exemple, 192.168.0.0 est utilisé.

Étape 7. Sélectionnez le masque de réseau du client dans la liste déroulante.

Note: Dans cet exemple, 255.255.255.128 est choisi.

Étape 8. Entrez le nom de domaine du client dans le champ Domaine du client. Il s'agit du nom de domaine qui doit être envoyé aux clients VPN SSL.

Note: Dans cet exemple, WideDomain.com est utilisé comme nom de domaine client.

Étape 9. Entrez le texte qui apparaîtra comme bannière de connexion dans le champ Bannière de connexion. Il s'agit de la bannière qui s'affiche chaque fois qu'un client se connecte.

Note: Dans cet exemple, Bienvenue dans le domaine étendu ! est utilisé comme bannière de connexion.

Paramètres de passerelle facultatifs

Les paramètres de configuration suivants sont facultatifs :

Étape 1. Saisissez une valeur en secondes pour le délai d'inactivité compris entre 60 et 86400. Il s'agit de la durée pendant laquelle la session VPN SSL peut rester inactive.

Note: Dans cet exemple, 3000 est utilisé.

Étape 2. Entrez une valeur en secondes dans le champ Temporisation de session. Il s'agit du temps nécessaire pour que la session TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol) expire après le temps d'inactivité spécifié. Elle est située entre 60 et 1209600.

Note: Dans cet exemple, 60 est utilisé.

Étape 3. Entrez une valeur en secondes dans le champ ClientDPD Timeout compris entre 0 et 3600. Cette valeur spécifie l'envoi périodique de messages HELLO/ACK pour vérifier l'état du tunnel VPN.

Note:  Cette fonctionnalité doit être activée aux deux extrémités du tunnel VPN.

Note: Dans cet exemple, 350 est utilisé.

Étape 4. Entrez une valeur en secondes dans le champ GatewayDPD Timeout compris entre 0 et 3600. Cette valeur spécifie l'envoi périodique de messages HELLO/ACK pour vérifier l'état du tunnel VPN.

Note:  Cette fonctionnalité doit être activée aux deux extrémités du tunnel VPN.

Note: Dans cet exemple, 360 est utilisé.

Étape 5. Entrez une valeur en secondes dans le champ Keep Alive comprise entre 0 et 600. Cette fonctionnalité garantit que votre routeur est toujours connecté à Internet. Il tentera de rétablir la connexion VPN si elle est abandonnée.

Note: Dans cet exemple, 40 est utilisé.

Étape 6. Entrez une valeur en secondes pour la durée du tunnel à connecter dans le champ Durée du bail. Elle est située entre 600 et 1209600.

Note: Dans cet exemple, 43500 est utilisé.

Étape 7. Entrez la taille du paquet en octets qui peut être envoyé sur le réseau. Elle est située entre 576 et 1406.

Note: Dans cet exemple, 1406 est utilisé.

Étape 8. Saisissez le délai d'intervalle de relais dans le champ Rekey Interval. La fonction Rekey permet aux clés SSL de renégocier une fois la session établie. Elle est située entre 0 et 43200.

Note: Dans cet exemple, 3600 est utilisé.

Étape 9. Cliquez sur Apply.

Configurer les stratégies de groupe

Étape 1. Cliquez sur l'onglet Stratégies de groupe.

Étape 2. Cliquez sur le bouton Add sous la table de groupe VPN SSL pour ajouter une stratégie de groupe.

Note: Le tableau Groupe VPN SSL affiche la liste des stratégies de groupe sur le périphérique. Vous pouvez également modifier la première stratégie de groupe de la liste, nommée SSLVPNDefaultPolicy. Il s'agit de la stratégie par défaut fournie par le périphérique.

Étape 3. Entrez le nom de stratégie préféré dans le champ Nom de la stratégie.

Note: Dans cet exemple, la stratégie de groupe 1 est utilisée.

Étape 4. Saisissez l'adresse IP du DNS principal dans le champ fourni. Par défaut, cette adresse IP est déjà fournie.

Note: Dans cet exemple, 192.168.1.1 est utilisé.

Étape 5. (Facultatif) Saisissez l'adresse IP du DNS secondaire dans le champ fourni. Cela servira de sauvegarde en cas d’échec du DNS principal.

Note: Dans cet exemple, 192.168.1.2 est utilisé.

Étape 6. (Facultatif) Saisissez l'adresse IP du WINS principal dans le champ fourni.

Note: Dans cet exemple, 192.168.1.1 est utilisé.

Étape 7. (Facultatif) Saisissez l'adresse IP du WINS secondaire dans le champ fourni.

Note: Dans cet exemple, 192.168.1.2 est utilisé.

Étape 8. (Facultatif) Entrez une description de la stratégie dans le champ Description.

Note: Dans cet exemple, la stratégie de groupe avec tunnel partagé est utilisée.

Étape 9. (Facultatif) Cliquez sur une case d'option pour sélectionner la stratégie de proxy IE pour activer les paramètres de proxy Microsoft Internet Explorer (MSIE) pour établir un tunnel VPN. Les options sont les suivantes :

• Aucun : permet au navigateur d'utiliser aucun paramètre de proxy.
• Auto : permet au navigateur de détecter automatiquement les paramètres du proxy.
• Bypass-local : permet au navigateur de contourner les paramètres de proxy configurés sur l'utilisateur distant.
• Désactivé : désactive les paramètres du proxy MSIE.

Note: Dans cet exemple, Désactivé est sélectionné. Voici la configuration par défaut .

Étape 10. (Facultatif) Dans la zone Split Tunneling Settings, cochez la case Enable Split Tunneling pour permettre au trafic destiné à Internet d'être envoyé sans cryptage directement à Internet. La transmission tunnel complète envoie tout le trafic vers le périphérique final où il est ensuite acheminé vers les ressources de destination, éliminant ainsi le réseau d'entreprise du chemin d'accès Web.

Étape 11. (Facultatif) Cliquez sur une case d'option pour choisir d'inclure ou d'exclure le trafic lors de l'application de la tunnellisation fractionnée.

Note: Dans cet exemple, Inclure le trafic est sélectionné.

Étape 12. Dans la table Réseau divisé, cliquez sur le bouton Ajouter pour ajouter une exception Réseau fractionné.

Étape 13. Saisissez l'adresse IP du réseau dans le champ prévu à cet effet.

Note: Dans cet exemple, 192.168.1.0 est utilisé.

Étape 14. Dans la table DNS fractionnée, cliquez sur le bouton Add pour ajouter une exception DNS fractionnée.

Étape 15. Entrez le nom de domaine dans le champ fourni, puis cliquez sur Apply.

Vérification de la connectivité VPN AnyConnect

Étape 1. Cliquez sur l'icône AnyConnect Secure Mobility Client.

Étape 2. Dans la fenêtre AnyConnect Secure Mobility Client, saisissez l'adresse IP de la passerelle et le numéro de port de la passerelle séparés par deux-points (:), puis cliquez sur Connect.

Note: Dans cet exemple, 10.10.10.1:8443 est utilisé. Le logiciel indique maintenant qu'il contacte le réseau distant.

Étape 3. Entrez votre nom d'utilisateur et votre mot de passe dans les champs respectifs, puis cliquez sur OK.

Note: Dans cet exemple, l'utilisateur Group1 est utilisé comme nom d'utilisateur.

Étape 4. Dès que la connexion est établie, la bannière de connexion apparaît. Cliquez sur Accepter.

La fenêtre AnyConnect doit maintenant indiquer la connexion VPN réussie au réseau.

Étape 5. (Facultatif) Pour vous déconnecter du réseau, cliquez sur Déconnecter.

Vous devez maintenant avoir correctement configuré la connectivité VPN AnyConnect à l'aide d'un routeur de la gamme RV34x.