Symantec.com
Partenaires
A propos de Symantec
BienvenueProduits et servicesSecurity ResponseSupportSolutions et secteurs d'activitéLicencesFormation
Grands comptes
Symantec.com > Entreprise > Support > Base de données

IMPRIMER CETTE SOLUTION IMPRIMER CETTE SOLUTION

ÉVALUER CETTE SOLUTION ÉVALUER CETTE SOLUTION

Comment configurer un tunnel client à passerelle

Ce document est une traduction réalisée à partir de l'anglais. Il est possible que des modifications aient été apportées à la version anglaise d'origine après que ce document ait été traduit et publié. Symantec ne garantit ni la précision ni l'exhaustivité de la traduction.


Situation:
Ce document propose des informations ainsi que des instructions de configuration détaillées sur la création d'un tunnel VPN client à passerelle.

Solution:


Configuration de tunnels VPN client à passerelle
Les tunnels VPN client à passerelle permettent à des utilisateurs distants, exécutant le logiciel Symantec Client VPN (ou tout autre logiciel client VPN compatible IPsec), de se connecter en toute sécurité via Internet à un réseau sécurisé par une passerelle de sécurité Symantec.

Fonctionnement des tunnels VPN client à passerelle
Symantec Gateway Security 300 prend en charge les configurations de tunnels VPN client à passerelle. Un tunnel client à passerelle est créé lorsqu'une station de travail exécutant le logiciel Symantec Client VPN se connecte à la passerelle de sécurité depuis l'intérieur d'un réseau protégé ou depuis un emplacement distant via Internet.

Remarque : Les clients sans fil peuvent utiliser des tunnels client à passerelle pour sécuriser leurs connexions. Reportez-vous au Guide de mise en oeuvre de réseau sans fil Symantec Gateway Security 300.

Après avoir établi le tunnel VPN, les utilisateurs distants peuvent se connecter et accéder en toute sécurité aux ressources du réseau privé via Internet, comme si la station de travail distante se trouvait physiquement à l'intérieur du réseau protégé.

Vous pouvez définir pour chaque groupe VPN les paramètres réseau à télécharger sur les clients pendant le mode de configuration de phase 1. Ces paramètres comprennent les serveurs DNS (principal et secondaire), les serveurs WINS et les adresses du contrôleur de domaine principal. L'envoi (push) de ces informations aux clients pendant le mode configuration évite aux clients d'avoir à configurer ces paramètres chacun de leur côté, permettant ainsi un gain de temps et évitant les risques d'erreur.

Les tunnels VPN client à passerelle Symantec exigent une identification de client et une clé partagée. Pour une authentification plus sécurisée, vous pouvez également utiliser l'authentification étendue avec un serveur RADIUS pour les tunnels VPN client à passerelle. Reportez-vous à la section "Defining users" page 86 du Guide de l'administrateur de Symantec Gateway Security 300.

Vous pouvez configurer deux types d'utilisateurs lors de la configuration de tunnels VPN : dynamique et statique. Reportez-vous à la section " Identifying users" page 85 du Guide de l'administrateur de Symantec Gateway Security 300.

Fonctionnement des tunnels globaux
Lorsqu'un client établit un tunnel VPN sur le réseau local, un tunnel global (0.0.0.0) est configuré pour le client. Ceci force tout le trafic du client à passer par le tunnel VPN qui aboutit au boîtier. Ceci est utile pour les réseaux non sûrs (comme les réseaux sans fil), afin d'assurer la sécurité du trafic.

Si un tunnel est établi sur le réseau étendu, le sous-réseau du boîtier (par défaut 192.168.0.0) est configuré pour le client. Ceci permet une division du tunnel afin que le client puisse toujours accéder directement à Internet et que seul le trafic destiné au réseau local soit envoyé via le tunnel VPN.




Etapes de la configuration de tunnels VPN client à passerelle

Configuration des tunnels VPN clients
Cette section explique comment définir des tunnels VPN clients. Pour définir des tunnels VPN clients, vous devez procéder ainsi :
Pour activer des tunnels clients
  1. Dans le volet de gauche de l'interface Security Gateway Management Interface (SGMI), cliquez sur VPN.
  2. Dans l'onglet Tunnels clients, sous Définition de tunnel de groupe, sélectionnez l'une des options suivantes :
    • Activer VPN client du côté réseau étendu
      Active les tunnels VPN clients uniquement pour le trafic arrivant sur le port de réseau étendu du boîtier.
    • Activer VPN client du côté réseau sans fil/local
      Active les tunnels VPN clients pour le trafic sur tout port du boîtier.
  3. Sous Paramètres réseau VPN, dans la zone DNS principal, saisissez le nom du serveur DNS principal.
    Le service DNS est un service Internet qui traduit les noms de domaines en adresses IP.
  4. (Facultatif) Dans la zone DNS secondaire, saisissez le nom du serveur DNS secondaire.
  5. (Facultatif) Dans la zone WINS principal, saisissez le nom du serveur WINS principal.
    Cette étape est facultative. Windows Internet Naming Service (WINS) est un système qui détermine l'adresse IP associée à chaque ordinateur réseau.
  6. (Facultatif) Dans la zone WINS secondaire, saisissez le nom du serveur WINS secondaire.
  7. (Facultatif) Dans la zone Contrôleur de domaine principal, saisissez le nom du contrôleur de domaine principal.
  8. (Facultatif) Dans la zone Liaison de groupe RADIUS, saisissez le nom du groupe de liaison RADIUS.
    Si vous envisagez d'utiliser l'authentification RADIUS, vous devez sélectionner Activer l'authentification utilisateur étendue, puis indiquer le groupe de liaison RADIUS. Le nom du groupe de liaison RADIUS doit correspondre au paramètre filterID renvoyé par le serveur RADIUS.
  9. Cliquez sur Mettre à jour.

Sélection d'une méthode d'authentification
Les clients peuvent être authentifiés en utilisant un nom d'utilisateur et un mot de passe définis dans la passerelle de sécurité Symantec ou en utilisant l'authentification étendue RADIUS. Si vous utilisez l'authentification RADIUS, il n'est pas nécessaire de définir les utilisateurs dans la passerelle de sécurité. Les utilisateurs sont définis sur le serveur RADIUS. Lorsqu'un utilisateur dynamique (un utilisateur non défini dans la passerelle de sécurité) tente de se connecter à un tunnel VPN, la passerelle de sécurité vérifie le nom d'utilisateur indiqué dans la liste d'utilisateurs définis. Si le nom d'utilisateur ne se trouve pas dans cette liste et si l'authentification étendue est activée et configurée, la passerelle de sécurité vérifie que le secret partagé correspond à celui configuré pour le tunnel. Si le secret partagé correspond, la passerelle de sécurité demande les informations requises par le serveur RADIUS. Si les informations du groupe renvoyées par le serveur RADIUS correspondent à la liaison de groupe RADIUS sur la passerelle de sécurité, la connexion du tunnel est autorisée. Il n'est pas nécessaire de définir des utilisateurs dynamiques sur la passerelle de sécurité.

Si vous n'utilisez pas l'authentification RADIUS, vous devez définir des utilisateurs sur la passerelle de sécurité en créant une identité utilisateur VPN pour chacun d'entre eux.

Pour créer une identité utilisateur VPN
  1. Dans le volet de gauche de SGMI, cliquez sur VPN.
  2. Dans le volet de droite, dans l'onglet Utilisateurs clients, sélectionnez Activer.
  3. Dans la zone Nom d'utilisateur, saisissez le nom de l'utilisateur.
  4. Dans la zone Clé pré-partagée, saisissez la clé pré-partagée de l'utilisateur.
    La clé pré-partagée doit comporter un minimum de 20 caractères.
  5. Cliquez sur Ajouter.
  6. Répétez les étapes 1 à 5 pour chacun des utilisateurs que vous devez créer.

Pour configurer des utilisateurs dynamiques pour l'authentification RADIUS
  1. Si ce n'est déjà fait, créez les comptes d'utilisateur dans le système RADIUS.
  2. Dans le volet de gauche de SGMI, cliquez sur VPN.
  3. Dans l'onglet Avancé, sous Paramètres de client VPN dynamique, sélectionnez Activer les tunnels de client VPN dynamique.
  4. Dans la zone Clé pré-partagée, saisissez la clé que vos utilisateurs dynamiques devraient fournir.
    La clé pré-partagée doit comporter un minimum de 20 caractères.
  5. Sous Paramètres RADIUS, dans la zone Serveur RADIUS principal, saisissez l'adresse IP de votre serveur RADIUS.
  6. En option, dans la zone Paramètres RADIUS secondaire, saisissez l'adresse IP d'un deuxième serveur RADIUS.
  7. Dans la zone Port d'authentification (UDP), saisissez le port utilisé par votre serveur RADIUS pour authentification.
    Le paramètre par défaut (1812) devrait fonctionner pour la plupart des implémentations RADIUS.
  8. Dans la zone Secret partagé ou Clé partagée, saisissez le secret partagé de votre serveur RADIUS.
  9. Cliquez sur Enregistrer.

Définition de paramètres de stratégie globaux pour les tunnels VPN client à passerelle
Certains paramètres peuvent être configurés au niveau global pour les tunnels VPN client à passerelle. Ces paramètres permettent de configurer le type d'ID de phase 1 pour tous les tunnels clients VPN se connectant à la passerelle de sécurité. Ces paramètres sont communs aux trois groupes VPN.

Pour définir des paramètres de stratégie globaux pour les tunnels VPN client à passerelle
  1. Dans le volet de gauche de SGMI, cliquez sur VPN.
  2. Dans le volet de droite, dans l'onglet Avancé, sous Paramètres de client VPN globaux, procédez comme suit :
    • Dans la liste déroulante ID de phase 1 passerelle locale, sélectionnez un type d'ID.
    • Dans la zone ID de phase 1 passerelle locale, saisissez la valeur correspondant au type d'ID sélectionné.
    • Dans la liste déroulante Stratégie VPN, sélectionnez la stratégie VPN à appliquer à tous les tunnels clients.
  3. Sous Paramètres de client VPN dynamique, procédez comme suit :
    • Pour activer les utilisateurs dynamiques pour les trois groupes VPN, cliquez sur Activer les tunnels de client VPN dynamique.
    • Dans la zone Clé pré-partagée, saisissez la chaîne de caractères correspondant à la clé.
  4. Cliquez sur Enregistrer.

Partage d'informations avec les clients
Après la configuration du tunnel VPN client à passerelle, vous devez diffuser les informations de la passerelle à vos clients pour qu'ils puissent s'y connecter. La liste ci-dessous précise les informations dont vos clients auront besoin afin de connecter leurs tunnels :
ATTENTION : Ne communiquez ces informations qu'oralement ou par des moyens sécurisés.




Supervision de l'état des tunnels VPN
L'onglet Etat VPN permet de consulter l'état de chacun des tunnels VPN entre passerelles dynamiques et statiques. L'état des tunnels statiques est soit Activé soit Désactivé. L'état des tunnels dynamiques est Connecté, Activé ou Désactivé. L'état des tunnels statiques n'est jamais Connecté parce qu'il n'y a pas de négociation pour les tunnels statiques.

Les informations affichées dans l'onglet Etat sont à jour au moment où vous cliquez sur l'onglet. L'état de la connexion pourrait changer pendant que vous consultez les informations. Cliquez sur Rafraîchir pour mettre à jour l'affichage.

Pour superviser l'état des tunnels VPN
Vérifiez que les deux extrémités du tunnel fonctionnent puis consultez la fenêtre Etat.

Pour rafraîchir les informations affichées dans la fenêtre Etat
  1. Dans le volet de gauche de SGMI, cliquez sur VPN.
  2. Dans le volet de droite, dans l'onglet Etat, en bas de la fenêtre Etat, cliquez sur Rafraîchir.

Pour vérifier que le tunnel est opérationnel aux deux extrémités
A partir d'un hôte local, envoyez une requête PING à un ordinateur du réseau distant.




Références
Version anglaise de ce document

Cliquez ici pour lire ce document en anglais
Remarque : En raison du temps nécessaire à la traduction, il est possible que le contenu des documents traduits diffère du contenu original, si celui-ci a été mis à jour alors que la traduction était en cours. Le document en anglais contient toujours les dernières mises à jour.



ÉVALUER CETTE SOLUTION
Cette solution était-elle utile ?
Oui
Non
Si les informations fournies n'étaient pas claires ou si les informations que vous cherchiez n'étaient pas mentionnées, signalez-le nous. Vos commentaires nous aiderons à améliorer notre prestation.

REMARQUE : les commentaires saisis ici ne feront l'objet d'AUCUNE réponse personnalisée.


Identification document: 20050209140646964
Dernière révision: 04/27/2006
Date de création: 02/09/2005
Système d'exploitation: Appliance
Nom du produit: Symantec Gateway Security 300 Series

Plan du site · Mentions légales · Politique de confidentialité · Commentaires sur le site · Nous contacter · Sites globaux
©1995 - 2009 Symantec Corporation
** L'achat en ligne des Produits Symantec s'effectue depuis le site édité et exploité par un revendeur agréé, la succursale anglaise de la Société Digital River Inc.